Home > 전체기사
교육부 산하 학점은행 사이트, 주민번호 노출 우려 ‘화들짝’
  |  입력 : 2016-07-25 16:40
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
윈도우10 업그레이드된 이용자 PC에서 공인인증서 모듈 오류 발생
수강신청 기간중 윈도우10 오류 수정시 암호화 풀려...현재 조치 완료


[보안뉴스 김태형] 최근 개인정보 유출에 대한 우려가 점차 커지고 있는 가운데 일부 대학이나 기업 및 공공기관 웹사이트에서 주민번호를 암호화하지 않고 보관하거나 전송해 보안에 취약하다는 문제가 지속적으로 제기되어 온 게 사실이다.

▲ 교육부 산하 국가평생교육진흥원의 학점은행 사이트 로그인 화면


이러한 때 교육부 산하기관인 국가평생교육진흥원(www.nile.or.kr)에서 운영하는 학점은행 사이트(www.cb.or.kr)에서 이용자가 공인인증서를 이용한 로그인 시 정상적인 SSL 암호화 통신을 하고 있지만, 주민등록번호 등 개인정보가 담긴 내용은 평문으로 전송하는 취약점이 있는 것으로 확인됐다.

국가평생교육진흥원에서 운영하는 학점은행 사이트는 학점은행제의 시행에 따라 개인의 학점을 관리하고 학위 취득을 할 수 있는 사이트로 누적된 학점이 일정 기준을 넘으면 학위 취득이 가능하다. 이러한 학점은행제는 ‘학점인정 등에 관한 법률(법률 제 11690호)’에 의거해 학교에서 뿐만 아니라 학교 밖에서 이루어지는 다양한 형태의 학습과 자격을 학점으로 인정하고, 학점이 누적되어 일정 기준을 충족하면 학위취득을 가능하게 함으로써 궁극적으로 열린 교육사회, 평생학습 사회를 구현하기 위한 제도다. 이러한 사이트가 보안취약점에 노출되어 개인정보가 유출될 경우 다양한 2, 3차 피해가 발생할 수 있다.

▲ 학위신청 패킷 화면


▲ 주민번호 및 ID평문 전송 패킷 화면


본지에 이를 제보한 이선우 씨는 “전역후 복학을 위해 학점은행 사이트에서 학위신청을 하는 과정에서 공인인증서를 통해 로그인을 했는데, 에러가 발생해 패킷분석 툴을 이용해서 패킷을 확인해 보니 주민번호를 암호화하지 않고 평문으로 전송하고 있는 점을 확인했다”고 밝혔다.

이어 그는 “이러한 상황에서 공격자가 마음만 먹으면 이용자들이 공인인증서로 로그인 할 때 패킷분석 툴을 이용해 개인의 주민번호 등을 탈취할 수 있다. 사이트 측은 반드시 해당 구간의 암호화 조치를 취해야 한다”고 덧붙였다.

이와 관련 국가평생교육진흥원 정보화3.0지원실 담당자는 “해당 학점은행 사이트에서 사용자 PC가 MS 윈도우10의 보안 업그레이드(kb3163018) 환경에서 회원 로그인이 불가능하다는 민원을 지난 6월 15일 접수받았다. 해당 사항을 확인한 결과, 로그인 페이지에서 공인인증서 모듈 호출이 되지 않는 문제를 확인했다”고 말했다.

이어 그는 “공인인증서 모듈 공급사에게 해당 오류에 대한 유지보수 요청을 했고, 공인인증서 모듈 제조사 측에서 ‘https(Hypertext Transfer Protocol over Secure Socket Layer)’로 전송 시 오류가 발생되며, ‘http’로 전환하면 정상 작동할 수 있다는 답변을 받았다”면서 “해당 전송구간을 ‘http’로 전환했을 때의 영향성을 검토한 결과, 학점은행 사이트에서는 학번을 개인 인식키로 사용하고 있으나, http 전환 시에는 공인인증서 인증구간에서 주민등록번호가 평문으로 전송되는 문제점을 확인했다”고 설명했다.

특히, 학점은행제 학습자 등록 및 학점인정 접수 신청기간인 6월 15일부터 7월 20일까지 이와 같은 민원이 폭주했고, 이용자 불편을 최소화하기 위해서 기존 ‘https’를 적용해 세션 데이터를 암호화하던 것을, 지난 6월 19일부터 우선적으로 ‘http’를 임시 적용했다는 얘기다.

해당 문제점과 관련해 국가평생교육진흥원 정보화3.0지원실 측은 “해당 전송구간 암호화를 위한 프로세스 수정 및 암호화 모듈 개발을 완료하고 23일부터 적용했다”며, “향후 사이트 보안 강화를 위해 외부기관을 통한 취약점 점검을 주기적으로 실시하고, 학점은행제 보유정보에 대한 최고 수준의 안전성 조치를 취함으로써 이러한 보안이슈가 다시 발생하지 않도록 노력할 것”이라고 강조했다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정모니터랩 파워비즈 5월 31일까지파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 디지털 도어록이 등록되지 않은 스마트워치로 무방비로 열리는 취약점이 발견돼 이슈가 되고 있는데요. 현재 귀하의 집에 설치된 디지털 도어록의 경우 비밀번호와 함께 주로 사용하고 있는 개폐 수단은 무엇인가요?
생체인식
카드키
교통카드(티머니)
스마트워치
스마트폰
기타(댓글로)
      

코오롱베니트
CCTV

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

동양유니텍
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

보쉬시큐리티시스템즈
CCTV / 영상보안

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

비전정보통신
IP카메라 / VMS / 폴

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

테크어헤드
얼굴인식 소프트웨어

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

트루엔
IP 카메라

슈프리마
출입통제 / 얼굴인식

에스카
CCTV / 영상개선

디비시스
CCTV토탈솔루션

다민정보산업
기업형 스토리지

구네보코리아
보안게이트

엔토스정보통신
DVR / NVR / CCTV

옵티언스
IR 투광기

씨오피코리아
CCTV 영상 전송장비

DK솔루션
메트릭스 / 망전송시스템

티에스아이솔루션
출입 통제 솔루션

진명아이앤씨
CCTV / 카메라

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

두레옵트로닉스
카메라 렌즈

브이유텍
플랫폼 기반 통합 NVR

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

아이엔아이
울타리 침입 감지 시스템

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

엘림광통신
광전송링크

퍼시픽솔루션
IP 카메라 / DVR

CCTV프랜즈
CCTV

지에스티엔지니어링
게이트 / 스피드게이트

아이유플러스
레이더 / 카메라

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

글로넥스
카드리더 / 데드볼트

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향