학교 종합정보시스템과 E-CLASS의 보안 취약점을 이용해 학우들의 개인정보인 사진을 유출하는 것이 8월 7일 이전에는 가능했던 것으로 알려졌다.
이 취약점을 처음 찾은 컴퓨터·전자 시스템공학부 노아론씨가 메일을 보내고 나서야 학교 측은 지난 8월 7일 17시에서 18시까지 홈페이지를 닫고 문제점을 수정했다. 하지만 당일 19시에 한국외대 에브리타임에는 보안 취약점이 아직 남아있다는 글이 올라왔다. 해당 보안 취약점은 종합정보시스템을 로그인함으로써 접근 권한을 얻은 후 특정 URL에 학번을 입력하면 학번에 해당하는 다른 학우의 사진을 볼 수 있는 것으로 알려졌다.
글을 작성한 노아론씨(에브리타임 훕포메이션)는 학교IT팀이 자신이 알려준 내용대로만 고쳤으며 그 후 한 번쯤 예상할 수 있는 문제에 대해서는 고치지 않았다고 지적했다. 노씨는 E-CLASS에서도 종합정보시스템과 마찬가지로 접근 권한을 얻은 뒤 다른 학우의 사진을 볼 수 있다고 말했다. 다만 학번이 아닌 무작위 5자리 숫자로 학생을 구분해 사람을 특정 지을 순 없다.
기자는 노 학우가 알려준 내용을 토대로 E-CLASS의 취약점이 고쳐지기 전 학생들의 사진을 유출시킨 방법을 재현해 보았다.
며칠 전 한 커뮤니티에는 수백 명의 사진을 유출시켰다는 글이 올라왔다. 물론 그것이 사실인지 거짓인지는 알 수 없다. 하지만 컴퓨터 비전공자인 기자마저 쉽게 접근할 수 있는 것으로 보아 불가능하진 않을 것이다. 이렇게 된 상황에서 학교 당국의 행정능력에 의심을 품을 수밖에 없다. 노아론 씨는 앞으로도 추가적으로 보안 취약점이 발견될 가능성이 있다고 전했다. 보안 불감증에 빠지는 순간 이러한 일은 언제든 다시 반복될 수 있는 것이다.
외대알리 이호준기자(leehojun46@gmail.com)