취약점 수정 여부 확인하기 위해 개발 업체 접속했다가 제적 처분

[보안뉴스 호애진] 한 캐나다 대학생이 25만명 이상 학생들의 개인정보가 노출될 가능성이 있는 대학 홈페이지의 취약성에 대해 알린 후 학교에서 제적되는 사건이 발생했다.

컴퓨터 과학을 전공하고 있는 학생인 하메드 알 카바츠(Hamed Al-Khabaz, 20)와 그의 급우인 오비디우 미자(Ovidiu Mija)는 지난 11월 옴니복스(Omnivox) 웹 포털 소프트웨어를 이용해 모바일 앱을 개발하던 중 대규모 데이터 유출로 이어질 수 있는 코드를 발견했다.

옴니복스는 그들이 재학 중이던 몬트리올 소재 도슨 대학(Dawson College) 등 수 백 곳의 캐나다 대학에서 사용 중인 소프트웨어다. 알 카바츠는 대학정보 서비스 및 기술부서 직원에게 이러한 사실을 즉시 통보했고, 이는 해당 소프트웨어를 개발한 업체에도 전달됐다.

개발 업체인 스카이테크 커뮤니케이션즈(Skytech Communications)는 이들의 발견에 대해 감사의 말을 전하기도 했다. 스카이테크의 회장인 에두아르 타자(Edouard Taza)는 “구글이나 MS를 비롯해 모든 소프트웨어 업체들은 자사의 제품에 버그를 갖고 있다”면서도 “두 학생이 옴니복스에서 개인정보에 접근이 가능한 중요한 보안 허점을 발견했고, 우리는 해당 문제를 조속히 해결할 수 있었다”고 밝혔다.

하지만 이틀 후 알 카바츠는 취약점이 수정됐는지 여부를 확인하기 위해 아큐네틱스(Acunetix) 웹 익스플로잇 테스트 킷을 실행했고, 이로 인해 곤경에 빠지게 됐다.

스카이테크는 침입 사실을 확인하고, 그에게 이러한 행위가 감옥에 갈 수도 있는 사이버 범죄로 간주될 수 있음을 알렸다. 또한, 서버에서 발견한 사항에 대해 언급하지 않을 것에 동의하는 비밀유지 각서에 서명하도록 요구했고, 알 카바츠는 서명했다.

그러나 대학 당국은 그가 취약성 스캐닝 툴을 실행한 것에 대해 학교의 윤리 규범을 어긴 것으로 판단했고, 11월 14일 컴퓨터 과학과 교수진은 회의를 통해 14대1의 투표 결과로 그를 제적하기로 결정했다. 알 카바츠는 대학 총장과 학장에게 항의했지만, 모두 거절당했다.

그는 “수천명의 학생들의 개인정보를 위협하는 취약성을 발견했고, 나는 일종의 의무감을 느끼고 학교에 알린 후 이 문제를 해결하기 위해 많은 노력을 기울였다”며, “프록시 서버를 이용해 나의 존재를 숨길 수도 있었지만, 그렇게 하지 않은 것은 이러한 나의 행위가 잘못된 것이라고 생각하지 않았기 때문”이라고 강조했다.

한편, 알 카바츠의 제적 소식은 1만500명으로 이뤄진 학생회에 알려졌고, 학생회는 그가 학교에 돌아올 수 있게 해달라고 요청하고 있는 중이다.

이러한 소식을 들은 스카이테크의 타자 회장은 알 카바츠가 다른 학교에서 학위를 마칠 때까지 장학금을 지급하고, 자사 정보보안팀에 파트타임 자리를 제공할 것이라고 발표했다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>