국내 대학들의 보안수준은 여전히 위험한 수준인 것으로 조사됐다. 정보통신망법에도 개인정보를 안전하게 저장·전송할 수 있는 암호화기술을 이용해 보안조치를 하라고 명시하고 있음에도 불구하고 국내 64개 대학 86개 사이트는 여전히 아이디와 비밀번호를 평문 전송하고 있는 것으로 조사됐다. 긴급한 보안조치가 필요한 상황이다.

이번 조사는 ‘제 7기 차세대 보안리더 양성 프로그램(BoB 7기)’에서 수료생 사후관리 프로젝트의 일환으로 ‘dadga(다드가)팀’이 약 300여 국내 대학의 로그인 보안에 대한 점검을 실시한 것이다. 그 결과 64개 대학이 취약한 것으로 조사됐다.

특히 이번 점검에서 로그인 정보를 평문으로 전송하는 대학중에는 중요한 군 장교를 양성하는 군 관련 대학들도 포함돼 있었고 다수의 국립대와 시립대도 포함돼 있어 충격을 주고 있다. 교육부와 과학기술정보통신부의 조치가 요구된다.

조사는 국내 대학을 대상으로 메인 화면에 링크된 사이트들을 대상으로 로그인 메뉴가 존재하는 경우 로그인을 시도하고 그 과정에서 네트워크상에서 평문이 전송되는지 여부를 조사하는 방식으로 진행됐다. 그 결과 300여 개 대학 중 64개 대학 86개 사이트에서 평문 로그인 취약점이 존재하는 것으로 파악되었다.

‘평문 로그인 위험성’에 대해서는 그간 계속해서 강조되어 왔고 웹사이트 보안에서 가장 기본적인 보안요구사항이기도 하다. 그럼에도 불구하고 국공립 대학까지 이런 보안조치를 위반하고 있는 것으로 나타났다.

다드가 팀은 “24.6%라는 수치는 처음 프로젝트를 시작했을 때의 예상보다 높은 수치다”라며 “다드가 프로젝트는 평문 로그인에 대한 심각성을 알리고자 하는 취지에서 시작됐다. 따라서 테스트 과정에서 확인된 평문 로그인 취약점을 내포하는 사이트나 학교는 100% 공개를 원칙으로 하며 앞으로도 계속해 점검된 결과들에 대해 공개해 나갈 예정이다”라고 밝혔다.

더불어 “이번 테스트 결과로 인해 어느 누구로 하여금 책임을 추궁하는 일이 일어나지 않았으면 하는 바람이다. 원래 100% 보안이란 것은 것은 없고 취약점이라는 것은 언제 어디에서나 존재하기 마련이며 누구의 잘못을 탓하기 보다 앞으로 어떻게 개선해 나갈 것인지를 논하고 실행하는 것이 중요하다”고 강조했다.

‘dadga(다드가)’팀은 BoB 이경문 멘토를 비롯해 7기 수료생 국주희, 김명수, 김성수, 김수연, 김종훈, 조성훈, 황태원 등으로 이루어져 있다.

이 팀은 이번에 약 300여 개 국내 대학의 로그인하는 과정을 자동화했고 해당 과정에서의 트래픽을 모니터링해 평문으로 아이디와 비밀번호를 서버에 전송하는 대학 사이트를 식별하고 공개한 것이다.

다드가팀 이경문 멘토는 “평문 로그인의 위험성에 대해서는 계속해서 강조되어 왔었지만 아직도 이런 취약점을 가지고 있는 사이트가 많이 존재한다. 그런데 그러한 사이트의 취약점을 직접 제보를 하면 심각성에 대해 인지를 하지 못하고 제대로 조치가 되지 않는 경우를 종종 봐왔다. 다드가 프로젝트를 통해 사이트 운영자 및 기관책임자들의 경각심이 제고되었으면 하는 바람이다”라고 말했다.

다드가 팀은 “이번에 대학교의 로그인 과정을 자동화하고 트래픽을 모니터링 함으로써 정기적인 점검이 가능하도록 했다. 이어 향후 점검대상을 고등학교, 중학교, 유치원, 정부 기관, 병원 등등 다양한 사이트들을 대상으로 점검을 확대해 나갈 계획”이라고 밝혔다.

‘정보통신망법 제 28조(개인정보의 보호조치)’에 따르면 정보통신서비스 제공자등이 개인정보를 취급할 때에는 개인정보의 분실·도난·누출·변조 또는 훼손을 방지하기 위해 개인정보를 안전하게 저장·전송할 수 있는 암호화기술 등을 이용한 보안조치를 해야 한다. 따라서 아이디와 비밀번호 같은 중요정보를 암호화 하지 않고 서버로 전송할 경우 ‘정보통신망 제 76조(과태료)’에 의거해 최대 3000만원의 과태료 등 행정처분을 받을 수 있다.

이번 다드가 프로젝트의 결과는 https://dadga.gitlab.io/ 를 통해 확인할 수 있다. 

★정보보안 대표 미디어 데일리시큐!★