Home > 전체기사
국내 64개 대학, 아이디·비밀번호 평문 전송... 보안 불감증 ‘여전’
  |  입력 : 2019-07-30 15:16
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
대학들의 허술한 보안실태, 아이디·비밀번호 평문 전송 실태에서도 드러나
BoB 7기 dadga팀, “약 300여 국내 대학의 로그인 보안 점검 프로젝트 진행”


[보안뉴스 권 준 기자] 최근 대학들의 잇따른 개인정보 유출 사건과 함께 정보보호 관리체계(ISMS) 인증 의무화 대학들의 인증 취득실태가 미흡하다는 지적이 나오고 있는 가운데 이번에는 상당수의 대학이 로그인 과정에서 아이디와 비밀번호를 여전히 평문으로 전송하고 있다는 문제가 제기됐다.

[이미지=iclickart]


우리나라의 미래 보안인재 육성사업인 ‘차세대 보안리더 양성 프로그램(BoB)’ 7기 수료생들이 국내 329개 대학의 로그인 보안을 점검한 결과 64개의 대학이 여전히 보안에 취약하다고 본지에 알려왔다.

‘평문 로그인의 위험성’에 대해서는 그간 계속해서 강조되어 왔던 게 사실이다. 그럼에도 여전히 해당 취약점을 가지고 있는 사이트가 다수 존재하며, 그 중에는 공공기관의 성격을 띠고 있는 곳도 상당수 포함되어 있다.

이러한 문제점을 개선하기 위해 ‘BoB 7기’에서 수료생 사후관리 프로젝트의 일환으로 ‘dadga(다드가)’팀이 약 300여 국내 대학의 로그인 보안에 대한 점검 프로젝트를 진행했다.

점검은 BoB 이경문 멘토, 7기 수료생 국주희, 김명수, 김성수, 김수연, 김종훈, 조성훈, 황태원으로 이루어진 ‘dadga’팀에 의해 진행됐다. 약 300여곳에 달하는 국내 대학의 로그인하는 과정을 자동화했고, 해당 과정에서의 트래픽을 모니터링해 평문으로 아이디와 비밀번호를 서버에 전송하는 대학 사이트를 식별했다는 게 dadga팀의 설명이다.

팀의 멘토인 이경문 멘토는 “평문 로그인의 위험성의 경우 그간 많이 지적돼 왔지만 아직도 그러한 취약점을 가지고 있는 사이트가 많이 존재한다. 그런데, 그러한 사이트의 취약점을 직접 제보를 하면 심각성에 대해 인지하지 못하고 제대로 조치가 되지 않는 경우를 종종 본다. dadga 프로젝트를 통해 사이트 운영자 및 기관 책임자들의 경각심이 제고되었으면 한다”고 말했다.

dadga팀은 “국내 300여개의 대학의 로그인 과정을 자동화하고 트래픽을 모니터링 함으로써 정기적인 점검이 가능하도록 했고 점검대상을 쉽게 수정·확장할 수 있도록 했다”며, “향후 고등학교, 중학교, 유치원, 정부기관, 병원 등등 다양한 사이트들을 대상으로 점검을 확대해 나갈 계획”이라고 밝혔다.

▲dadga팀 프로젝트 페이지[이미지=홈페이지 캡처]


자세한 dadga 프로젝트의 결과는 https://dadga.gitlab.io/를 통해 확인할 수 있다. 정보통신망법 제28조(개인정보의 보호조치)에 따르면 정보통신서비스 제공자 등이 개인정보를 취급할 때에는 개인정보의 분실·도난·누출·변조 또는 훼손을 방지하기 위해 개인정보를 안전하게 저장·전송할 수 있는 암호화 기술 등을 이용한 보안조치를 취해야 한다고 명시돼 있다. 이에 따라 아이디와 비밀번호 같은 중요정보를 암호화 하지 않고 서버로 전송할 경우 ‘정보통신망 제76조(과태료)’에 의거해 최대 3000만원의 과태료 등 행정처분을 받을 수 있다.

dadga팀은 “한달 후 재점검을 통해 아이디와 패스워드가 암호화된 사이트는 결과 페이지에서 삭제하도록 하겠다”고 말했다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)