정보보안 및 개인정보보호 수준 진단 ‘우수’ 등급에도 곳곳 구멍
지난해 11월 경북대학교 재학생이 학내망을 이용해 ▲경북대학교 ▲구미대학교 ▲대구가톨릭대학교 ▲대구한의대학교 ▲숙명여자대학교 구성원의 개인정보 81만 건을 무더기로 유출하는 사건이 발생했다. 대내외적으로 개인정보 유출에 대한 우려가 커지는 상황 속 개인정보 보호 주간을 맞아 본보는 아주대학교(이하 아주대) 전산정보 시스템 전반에 대한 취약점 분석에 나섰다. 2021년 이후 정보보안 및 개인정보보호 수준 진단에서 꾸준하게 우수 등급을 받아온 아주대의 전산정보 시스템은 과연 안전할까?
아주대 교내 전산정보 시스템 전반에 걸쳐 보안 취약점이 다량 발견됐다.
허점 드러난 내부망, 철저한 관리 필요
아주대 종합정보시스템 AIMS(이하 AIMS)에 특정 경로로 접속하거나 ESC 키를 활용하면 활성화된 조회 버튼을 통해 이름만으로 재학생과 교직원 그리고 졸업생의 ▲생년월일 ▲이메일 ▲전화번호 ▲학과 ▲학번 등의 개인정보를 조회할 수 있는 현상이 발견됐다. 정보시스템팀 신민철 직원은 “화면 접속관리 미흡으로 특정 경로에서 관리자 기능이 공개됐다”고 이유를 밝혔다. 손종욱(문콘‧4) 학우는 “부실한 AIMS 관리로 내 개인정보가 조회될 수 있었다는 점이 아쉽다”고 말했다.
아주대 포탈(이하 포탈)의 특정 로그인 페이지에서 교내 구성원의 포탈 아이디를 입력하면 비밀번호에는 무엇을 입력하든 로그인이 가능한 문제도 발견됐다. 이 로그인 페이지를 통해 포탈에 접속하면 개인 프로필 사진과 시간표 그리고 이수학점 등의 정보를 열람할 수 있었다. 이는 포탈 내부 개발용 로그인 페이지가 구글 검색 등에 노출되면서 발생했다. 포탈 아이디는 아주메일 아이디와 동일해 교내 구성원이라면 누구나 조회할 수 있었다. 이태진(경영‧1) 학우는 “사실상 비밀번호가 없는 것과 다름없는 심각한 문제다”고 전했다. 신 직원은 “통합로그인(SSO)을 거치는 것이 아니다”며 “포탈 로그인 외에 ▲아주Bb ▲아주Gmail ▲전자결재 ▲AIMS 등 타서비스로의 인증정보 제공은 불가능해 포탈 내부에서만 동작했을 것으로 보인다”고 악용 가능성을 일축했다.
허술한 홈페이지 관리, 여전히 도사리는 위험
비교과 통합 관리 시스템 아주허브(이하 아주허브)의 교과 이수 현황 페이지에서 교수의 개인 연락처가 공개되는 현상도 발견됐다. 교수의 개인 연락처는 개인정보로 분류돼 공개 대상이 아니다. 하지만 교과목 관련 정보를 불러오는 과정에서 비공개 대상인 정보가 함께 공개돼 문제가 발생했다. 비교과교육지원센터 양유진 직원은 “원칙적으로 공개되지 않는 것이 맞다”며 “본인이 수강한 교과 수업에 한해 담당 교수의 연락처가 노출됐다”고 설명했다. 익명을 요청한 학우는 “아주허브는 이전에도 관리자 페이지가 노출되는 문제가 있었던 것으로 안다”며 “계속해서 문제가 발견되는 아주허브 홈페이지에 대한 종합적인 점검이 필요해 보인다”고 말했다.
등록금 고지서와 납부확인서가 별도의 로그인 없이 이름과 생년월일만으로 조회되는 문제도 발견됐다. 이를 통해 ▲장학금 수혜 여부 ▲학과 ▲학년 ▲학번 ▲학생회비 및 동문회비 납부 여부 ▲학적상태 등을 확인할 수 있다. 등록 관련 업무를 담당하는 재무회계팀 김효정 직원은 “등록금 납부확인서 출력에 대한 학부모의 요청이 빈번해 인증 절차 도입에 제한이 있었다”며 “빠른 시일 내에 추가 정보 입력이 필요하도록 개선할 계획이다”고 밝혔다. 한아름(정외‧4) 학우는 “이러한 사실을 전혀 인지하지 못했다”며 “시스템 개선이 이뤄진 후 학우들에게 이를 공지하는 것이 필요해 보인다”고 말했다.
아주대는 보안 점검을 지속하는 한편 점진적으로 개인정보 관리를 강화한다는 방침이다. 현재 아주대는 내부관리 계획에 근거해 AIMS의 개인정보 조회 권한과 개인정보 열람 기록을 주기적으로 점검하고 있다. 또한 개인정보 조회 이력을 별도로 관리해 비정상적 조회 행위에 대해서는 메일을 통해 사유를 확인하는 작업을 진행한다. 신 직원은 “추후 개인정보 조회 행위에 대해 보다 엄격한 관리체계를 수립하고자 계획 중이다”고 밝혔다.