학생포털, 타 학생 정보 접근 취약점 발견… 신속 조치 완료

DGIST 학생포털과 포털 연동 온라인몰(MRO Mall)에서 타 학생의 시간표 및 계정에 접근할 수 있는 보안 취약점이 잇달아 확인되었으며, 제보 이후 각각 조치되었다.

 

이번 개선 전까지 학생포털 정보광장 시스템에서는 특정 조건에서 다른 사용자의 시간표 정보가 조회될 가능성이 있었던 것으로 확인됐다. 익명의 제보자를 통해 이 문제를 확인한 ‘디지스트신문 DNA’가 정보전산팀에 해당 사실을 전했고, 약 하루 만에 해당 문제가 해결되었다.

 

해결 이후 정보전산팀은 “전문적이고 재현성 있게 제보해 주어 빠르게 해결할 수 있었다”며 제보에 감사를 전했다. 해당 문제에 대해서는 “서버 측 검증 과정을 추가하여 더 이상 문제가 없도록 조치하였다”고 말했다. 또한 이와 유사한 문제가 또 일어날 것을 방지하기 위하여 “과학기술정보통신부 산하 한국과학기술정보연구원에 대표 홈페이지와 학생포털에 대한 세부 보안 취약점 점검을 의뢰하였다”며, 보안 강화를 위해 지속적으로 노력하고 있다고 덧붙였다.

 

“학생포털>주요 사이트”를 통해 접속할 수 있는 MRO Mall에도 보안 문제가 있었다. MRO Mall은 DGIST 구성원이 포털과 연결된 온라인 몰을 통해 연구나 학업에 필요한 물품을 쉽게 구매할 수 있는 서비스이다. '디지스트신문 DNA'는 4월 1일 MRO Mall 접속 과정에서 타 학생 명의로 로그인이 가능한 문제를 익명의 제보자를 통해 확인하였다. 해당 사실을 총무구매팀에 전하자, 이튿날 해당 문제가 해결되었다.

 

개선 이전, 로그인이 되어있지 않은 상태에서 학번만으로 로그인 과정의 개인정보 동의 화면에 접속할 수 있었다. <사진 = DGIST MRO Mall 로그인 페이지 캡쳐>

 

총무구매팀 담당자는 “시스템의 보안 취약점을 세심하게 확인하고 제보해주셔서 감사드린다”고 전하였다. 또한 해당 문제는 사용자 식별 및 접근 처리 방식을 보완하여 임의 접근이 발생하지 않도록 조치하였다고 설명하였다. 덧붙여 “MRO 사이트에 대해 사용 시 불편한 점이나 금번과 같은 취약사항이 있으면 언제든지 알려달라”고 전하였다.

 

 

 

이서하 기자 lsh@dgist.ac.kr

채은우 기자 ewchae@dgist.ac.kr