학내 증명발급기 개인정보 ‘줄줄’

주민번호 노출되면 누구나 성적열람 가능

사용하기 편리해 설치가 늘어나는 대학내 증명서 무인발급기가 개인정보가 무방비로 노출되는 등 보안이 허술해 각별한 조치가 필요하다는 목소리가 높다. 이화여대 학생문화관에 있는 증명서 무인발급기는 네 대가 나란히 붙어있는 기기 사이에 칸막이가 설치되지 않아, 뒤나 옆에서 고개를 조금만 내밀면 발급 과정을 쉽게 엿볼 수 있다. 경희대 발급기는 아예 주민등록번호가 공개된다. 대부분 발급기는 주민번호를 입력할 경우 뒷자리가 ‘*******’ 형식으로 표기되지만, 바로처리실 문 앞에 있는 구형 기기는 뒷자리 숫자마저 그대로 노출된다. 연세대 발급기는 숫자 버튼을 누를 때마다 음성설명이 나와 본의 아니게 이용자 주민번호가 노출되기도 했다. 학생들이 민원을 제기, 현재는 음성이 나오지 않도록 꺼놓은 상태다. 일반적으로 대학에 설치된 발급기는 은행 ATM기기처럼 비밀번호를 입력하라거나, 주민등록번호 등·초본 발급기처럼 지문을 찍으라는 등 ‘1차 암호’조차 요구하지 않는다. 그러다보니 주민번호만 알면 아무런 제재 없이 타인의 성적을 모두 열람할 수 있는 셈이다. 또 발급기 사이에 칸막이 설치도 필요하지만 대학의 보안의식은 이를 못따라가고 있다. 한 대학 관계자는 “학생들이 뭐하러 다른 학생의 주민번호를 유심히 보겠느냐?”며 “미관상 좋지 않아 일부러 칸막이를 설치하지 않았다”고 말한다. 무인발급기가 해킹에 무방비라는 사실도 문제다. 하지만 대부분 대학은 외부업체에 유지·보수를 맡겨둘 뿐 이 문제에는 손을 놓고 있는 실정이다. 발급기는 단말기 형태지만, 사실상 내부엔 일반 PC가 설치되어 있는데, 윈도를 운영체제로 프로그램을 구동하는 형식이라 해킹에 취약하다. 닫기 버튼이나 특정한 키, 혹은 특정한 좌표를 누르거나 의도적인 오작동 등 조작을 통해 터치스크린이 꺼지거나 창 크기가 줄어들 경우 윈도 바탕화면이 쉽사리 노출된다. 이종락 호서전문학교 사이버해킹보안학과 교수는 “바탕화면이 뜨면 시작 버튼을 눌러 보조프로그램으로 이동한 후 ‘명령 프롬프트’와 ‘화상키보드’를 불러올 수 있는데, 이 두 가지만 있으면 발급기에 대한 정보를 받을 수 있다”고 말했다. 발급기 IP 등 내부 정보를 알아낸 후 무선 노트북을 이용해 권한을 노트북으로 가져올 경우 제어권마저 뺏긴다. 노트북에서 조작하는대로 작동하는 것은 물론, 노트북을 통해 발급기에 해킹 도구를 심어놓고 네트워크에 돌아다니는 자료를 수집할 수도 있다(‘스니핑’ 기법이라고 한다). 역으로, 이런 정보를 이용해 대학 중앙 서버까지 접근도 시도할 수 있다는 것. 이 교수는 “최악에는 서버로 침입해 학적정보를 수정하고 지우는 일까지 가능하다”며 “만에 하나 무방비 상태에서 해킹을 당한다면 모든 학생의 정보가 누출되는 등 상당한 문제에 직면할 것”이라고 경고했다. 한 대학 관계자는 “발급기를 해킹할 수 있다는 이야기는 처음 듣는다”며 “설치한 업체가 전적으로 관리를 하고 있어 이런 일에 대해선 잘 모른다”고 말했다. 발급기를 유지·보수하는 업체에 정기적으로 점검을 하느냐 물어보니 “정기점검을 따로 하지는 않고 종이가 걸리거나 문제가 발생할 때 방문해서 해결하는 정도”라고 답했다. 이종락 교수는 “대학은 보안에 대한 마인드 자체가 부족하다”며 학생들에 대한 교육 역시 필요하다고 주장했다. 그는 “학생들도 여태껏 컴퓨터를 사용하는 방법만 배웠지, 보안에 대해서는 제대로 배우지 않았다”면서 “학교가 활용기술을 가르치는 것 못지않게, 컴퓨터를 잘 지키는 방법도 가르쳐야 한다”고 지적했다. 서울 경찰청 사이버테러대응센터 이수란 경위는 “대학이나 도서관처럼 불특정 다수가 이용하는 수많은 컴퓨터는 모두 노출되어 있다고 봐야 한다”며 “악의적으로 해킹 도구를 심어 놓고 해킹을 시도하면 실질적으로 방법이 없다”고 말했다. 이 경위는 이 문제와 관련 “무엇보다 대학이 보안에 대한 의식을 새로이 하고, 보안교육을 일상화하는 일이 중요하다”고 강조했다.