지난해 8월 데일리시큐는 ‘LG 시스템에어컨, 관리자계정 인터넷상에 무방비 노출!’이라는 제하의 기사를 통해 LG전자 시스템에어컨 컨트롤러의 관리자 계정 및 패스워드가 구글 검색을 통해 그대로 노출되는 상태였으며 서울 소재 모 유명 대학에서 사용하고 있던 LG시스템에어컨 컨트롤 페이지에 접근이 실제로 가능하다는 기사를 내 보낸 바 있다.
-관련 기사: dailysecu.com/news_view.php?article_id=2691
 
이에 LG전자 측은 “ACP 매뉴얼 상에 공장 초기 설정된 사용자 ID/PASS를 ACP 설치 후 변경하도록 권고하는 문구를 삽입토록 할 것이며 설치자 교육을 통해 설치시점에 사용자가 ID/PASSWORD를 변경토록 조치할 예정”이라고 답변을 해 왔다.
-관련 기사: dailysecu.com/news_view.php?article_id=2725
 
하지만 이번에 유사한 문제가 또 발생해 논란이 예상된다. 구글 검색만으로 같은 대학의 LG시스템에어컨 관리자 페이지 접속이 여전히 가능하다는 것이 드러난 것이다.
 
이러한 문제를 발견하고 데일리시큐에 제보한 손건(미금중 3학년)군은 “구글에서 V-NET을 검색하던 중 J대학 도서관 공조 시스템인 LG전자의 V-net ACS 제어페이지가 그대로 노출된다는 것을 알게 됐다”며 신속한 조치를 당부했다.

 
손 군은 “해당 대학교 도서관 IP대역이 외부망과 연결돼 있는 것 같다. 공조시스템 관리자가 ID와 패스워드 관리를 제대로 하지 않고 있는 것 같다”며 “학교 내부망이 외부망과 연결돼 있을 경우 내무망 해킹의 위험성이 커진다”고 주의를 당부했다.
 
또 “V-net 제어시스템에서 시스템 설정-일반설정-사용자관리에 들어가면 비밀번호를 변경할 수 있는 것 같은데 하지 않아 이런 문제가 발생한 것으로 보인다”며 “조금 귀찮더라도 보안상 관리하시는 분들의 권한을 설정해 주고 관리자 계정을 통합해서 관리하는 것이 좋을 것 같다”고 권고했다.
 
지난해 기사에서도 지적했던 것처럼, LG전자 ACP 설명서에 공개된 ID와 패스워드를 사용기관들이 변경하지 않은 것이 가장 문제이고 이를 변경하도록 제대로 권고하지 않은 LG전자 측의 문제도 크다는 지적을 했음에도 불구하고 확인결과, 해당 대학은 여전히 예전 매뉴얼에 공개된 ID와 패스워드를 사용하고 있다는 것과 LG전자의 즉각적인 조치가 제대로 이루어지지 않았다는 것을 알 수 있다. 
 
데일리시큐는 해당 문제점을 KISA에 전달해 다시 한번 조치가 이루어질 수 있도록 할 것이며 이후에도 조치가 이루어지지 않을 경우 해당 대학의 실명을 공개할 예정이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com