• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[BLACKGUEST의 차이나리포트] 中 학교 해킹...2천여명 학생정보 유출 2014.02.12

학생 개인정보 이용해 학부모 상대로 보이스피싱 사기 시도


[보안뉴스=BLACKGUEST] 중국 남해의 옌부직업기술학교가 해킹 당해 2천여 명의 학생 개인자료가 유출되는 사건이 발생했다. 학교 측은 6개월 전에도 해커의 공격을 당했던 적이 있다. 하지만 보안취약점이 왜 계속 남아있었는지는 명확하지 않다.


네트워크 문서 열고 학생 비밀문서 열람

홍헤이연맹에 따르면 옌부직업기술학교(이하 옌부학교)학생들의 개인정보가 해킹 당했고 많은 학부모들이 사기 전화를 받았던 것으로 알려졌다. 옌부기술학교의 경우 공식 웹 사이트뿐만 아니라, 학교에서 개발한 독립형 교육관리 시스템을 운영하고 있었는데 http://jdyd.nhedu.net 뒤에 ‘files/’를 붙여서 메인 목록으로 넘어갈 수 있었다는 것.  


내부에는 3551개의 전자문서가 있었고 모두 ‘알파벳’에 ‘숫자’를 더한 방식으로 명명되어 있었던 것으로 알려졌다.  이 문서들에는 학교의 교육계획이 포함돼 있었는데 예를 들어, 교사의 오픈 클래스 수업계획, 학생의 급식인원 신청 통지표, 실습교사의 근무일정표 등이다.


특히, 학생 인턴명단, 장학색 신청표, 기술 경연대회 참가 양식 등 학생의 실제 이름, 신분증 번호, 사진, 연락처 정보 및 기타 개인정보를 포함하는 문서들도 유출된 것으로 알려졌다.


또한, ‘2013년 11월 19일 학생 마약 투여 사건 기록’에서, 3명의 미성년 학생들이 화장실에서 ‘코카인’을 했다는 구두보고도 발견된 것으로 알려졌다.  무엇보다 옌부직업기술학교의 모든 학생명단, 학생증, 성명, 집주소, 보호자 성명 및 핸드폰 번호 등의 내용이 기록돼 있는 엑셀파일이 유출돼 2010년 가을학기부터 입학한 2640여명의 학생의 전체 정보를 해커가 취득한 것으로 추측된다.


사기꾼이 정보를 훔쳐가 부모들을 상대로 사기 전화

더 큰 문제는 학생 가족들이 학생과 관련된 사기 전화를 받은 것으로 알려졌다는 점이다. 외지에서 일하는 부모 중 량 여사는 얼마 전 어떤 여성 사기꾼이 전화를 걸어 자기가 옌부기술학교의 교사라면서 자녀가 교통사고를 당했으니까 병원으로 돈을 송금을 하라는 내용의 전화를 받았다는 것.

량 여사는 “그 사기꾼은 우리들에 대해서 많은 정보를 알고 있었고 나는 믿을 수밖에 없었다”며  “그 당시에 매우 놀랐고 아들에게 바로 전화를 했지만 통화가 되지 않아 답답했었다. 하지만 나중에 연락이 돼서 그 전화가 사기 전화인 것을 깨달았고 다행히도 사기꾼에게 속지 않았다”고 전했다.


익명을 요구한 한 학부모는 “많은 부모가 이와 같은 사기 전화를 받았고 심지어 여러 차례에 걸쳐 전화를 받은 경우도 있었다”면서 “학생의 개인정보가 해킹돼 1년 이상 피해를 보게 되는데, 학교 측은 모든 부모에게 이를 공개하지 않았다”고 말했다.


6개월 전 보안취약점이 아직도 존재?

웹사이트 주소에 파일의 영문명 ‘files’를 붙이면 직접적으로 로그인이 가능하고, 관리자 화면으로 접속할 수 있는 것이 일반적인 현상으로 볼 수 있을까?


어느 통계에 따르면 불산지역에서는 적어도 2개의 기술학교에서 독립적인 교육관리시스템 웹사이트를 개발하고 있는데, 각각 슌더직업기술학교와 광동방직직업기술학원이었다. 당시 앞서 언급한 방법으로 테스트 해 봤는데, 브라우저에서 ‘접근 오류’ 메세지가 뜨면서 액세스가 되지 않고 파일 다운로드를 하지 못하는 결과가 나온 것으로 알려졌다.


한 학교 내부자에 따르면 직접적으로 로그인 후 화면으로 접속할 수 있는 것은 웹사이트 접속정보 설정 시, 사용자가 ‘목록열람’을 할 수 있도록 설정되어 있는 것이고, 권한 설정을 하지 않는 것은 ‘매우 수준 낮은 취약점’이라는 것이다.


옌부기술학교의 한 관계자는 학생 개인정보 유출사건과 관련해 ‘수준 낮은 취약점’에 대해서는 부정하면서 이번 사건은 해커 침입에 의한 결과라고 말한 것으로 드러났다.


그에 따르면, 옌부기술학교 관리시스템은 내부 네트워크이고 외부에 공개되지 않았다. 이번 사건 이후 학교 측의 조사에 따르면 학교 내부의 한 컴퓨터가 해커에게 공격을  받아 해킹을 당한 것으로 보이며, 이 사건을 공안부에 보고했고 감염된 컴퓨터에 대해선 이미 처리를 마쳤다는 것이다.


학교 관계자는 잘 모르는 일이라고 하면서도 “학교 측에서 계속 주의를 기울여 이 문제를 다룰 것”이라고 약속했다. 그날 이후로는 외부에서 옌부 교육관리 시스템 웹사이트에 로그인 할 수 없었던 것으로 알려졌다.

[출처: 홍헤이연맹(http://www.2cto.com/)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>