[논설] 인증서 보안 문제 해결, 다만 전무했던 임시 보호 조치와 늦은 대응은 ‘유감’

학번·생년월일로 타인 성적증명서 발급했던 보안 허점, 최근 해결

문제 제기 후 44여 일간 지지부진하다 비판 논설 예고 후 조치 완료

유출 위험 인식하고도 한 달 넘게 임시 보호 조치 없었어…

향후엔 신속하고 책임 있게 대응해야…

 

※ 본 논설은 기자의 주관이 포함된 글로, 본지의 편집 방향과 다를 수 있습니다.

 

최근 DGIST는 원내 오프라인 증명서 발급 시스템의 보안 문제를 해결했다고 밝혔다. 앞서 18일, '디지스트신문 DNA'는 특정 학생의 학번과 생년월일만 입력하면 추가적인 본인 인증 절차 없이 ▲성적증명서 ▲재학증명서 등 민감한 개인정보가 담긴 증명서를 출력할 수 있다고 보도한 바 있다. (관련 기사: 허술한 원내 증명서 발급 절차… ‘학번, 생년월일 알면 타인 것도 발급 가능’)

이번 개선을 통해 원내 오프라인 증명서 발급 시스템에 DGIST 포털 로그인 절차가 추가된다. 개인정보 유출에 대한 우려를 잠재울 수 있는 뜻깊은 성과라고 관계자들은 입을 모았다.

 

다만, 담당 부서의 늦은 대응은 유감이다. 인증서 발급 시스템을 담당하는 원내 부서는 지난 6월 ‘디지스트신문 DNA’가 취재를 시작하며 문제를 제기했을 때 이를 인식했으나 즉각적인 조치는 없었다. 문제 제기부터 해결까지 44일이 걸렸다.

이번 문제 해결의 핵심은 인증서 발급 과정에 DGIST 포털 로그인 절차를 추가해 본인 인증 과정을 구축하는 것이었다. 이는 별도의 장비를 구매하거나 복잡한 시스템을 마련하는 일이 아닌 만큼, 비교적 신속하게 해결 가능한 사안이었다.

담당 부서는 문제 제기 당시 빠른 해결을 약속하였으나, 이후 도입 기일을 여러 차례 미루며 긴 시간을 소요했다. 심지어 그 기간 동안 학생들의 개인정보가 유출될 가능성을 인지했음에도, 문제가 확인된 기기를 시스템 개선 전까지 잠정 폐쇄하는 등의 임시 조치를 한동안 취하지 않았다는 점 또한 우려스럽다. 결론적으로 문제를 인식한 후 한 달이 넘는 시간 동안 이를 방치했다는 지적이 나올 수밖에 없다.

문제 해결 타임라인 <그래픽 = 권대현 기자>

인증서 발급 시스템 보안 문제 해결 타임라인

 

6월 16일

문제에 대한 논의를 처음 시작한 것은 지난 6월 16일이었다. 취재팀은 담당 부서에 연락해 증명서 발급 시스템 중 보안 문제를 제기했다. “학번 등 비교적 공개된 정보를 통해 타인의 GPA와  같은 민감한 개인정보에 접근할 수 있다”는 지적에, 19일 담당 부서는 ‘개선이 필요하다는 지적에 공감한다’고 전했다. 담당 부서의 관계자 A씨는 ‘DGIST 포털의 ID와 비밀번호를 입력해야 인증서 발급이 가능하도록 인증 절차 개선 방안을 검토하고 있다’고 말하며 ‘세부 조율을 통해 추후 확정하겠다’는 뜻을 밝혔다.

6월 16일 – 7월 8일

담당 부서의 입장을 전달받은 취재팀은 ‘문제 해결 시까지 기사 발행 금지’라는 지침을 세웠다. 해당 문제가 원내 일반에 알려졌을 시 타인의 개인정보를 유출하는 모방 범죄가 일어날 수 있다는 판단이었다.

 

7월 8일

그러나 문제 해결까지는 오랜 시간이 걸렸다. 담당 부서가 문제 해결 의사를 밝힌 후 20여일 지난 7월 8일 아직 인증서 발급 시스템에 시스템 보안 허점이 그대로인 점을 확인한 취재팀이 담당 부서의 관계자 A 씨에게 연락하자, ‘기다려달라’는 답변이 돌아왔다. A 씨는 ‘확인 결과 곧 해결될 것 같다’고 말하며 ‘외부 관리 업체로부터 ‘일주일 안(7월 15일)에 해결 가능하다’는 답을 받았으니 자세한 사항이 정해지는대로 연락하겠다’고 전했다. 이에 취재팀은 일단 계속해서 기사 발행을 미루며 대기하겠다는 의사를 전달했다.

 

7월 17일

담당 부서 A 씨로 부터 취재팀이 다시 연락받은 시일은 일주일이라는 기존 약속을 넘긴 9일 후였다. A 씨는 취재팀에 ‘테스트 서버를 확인하는 데 시간이 든다’는 이유를 밝히며, ‘7월 25일 전에는 모두 마칠 수 있다’고 전했다. 7월 15일로 정했던 기일을 25일까지 다시 미룬 것이다.

이에 취재팀은 문제 해결이 계속해서 미뤄지는 상황에서 더이상 기사 발행을 미루는 것은 무의미하다고 판단해, 해당 사안에 관한 기사를 다음 날 발행했다.

 

7월 25일

그러나 한 번 미뤄진 기일이었던 25일에도 해당 문제는 해결되지 않았다. 취재팀이 확인한 결과, 아직 인증서 발급 시스템은 학번과 생년월일을 통해 타인의 개인정보에 접근할 수 있었고 어떠한 임시 조치도 이루어지지 않은 상황임을 파악했다.

취재팀은 관계자 A 씨에게 연락해 지금까지 상황에 대해 보도하겠다고 전했다. 문제 해결 경과를 밝히고, 이 과정 속에서 대응 시기가 지속적으로 늦어지고 관련 선제적인 임시 보호 조치를 취하지 않은 점 등을 비판하는 논설을 발행하겠다는 내용이었다.

그러자 약 40분 후, 기존에 취재팀과 소통하던 A 씨가 아닌 담당 부서의 팀장 B 씨가 직접 취재팀에 전화해 문제를 해결하겠다고 전했다. B 씨는 취재팀을 향해 ‘소통 오류로 본인은 문제가 이미 해결된 줄 알았다’고 말하며 미숙했던 점에 대해 사과의 뜻을 전했다.

B 씨는 일단 오프라인 인증서 발급 기기의 전원을 끄고 시스템을 멈추는 방식으로 긴급 조치를 취하겠다고 말했으며, 실제로 약 한 시간이 지난 후 오프라인 인증서 발급 기기는 작동을 멈췄다.

더불어 B 씨는 ‘문제 해결이 늦어지는 점에 대해 외부 관리 업체를 향해 항의성 연락을 취했으며, 30일까지는 모든 문제를 해결할 수 있다는 답변을 받았다’고 전했다. ‘원내 학생들의 개인정보가 외부 업체를 거쳐 보안 프로그램에 적용되어야 하는 점 때문에 절차가 늦어졌다’는 설명도 덧붙였다.

 

7월 29일

인증서 발급 시스템에 DGIST 포털 로그인 절차가 추가되었으며 기기 사용이 재개되었다. 적절한 본인 인증 절차를 통해 보안 허점 문제가 해결된 것이다.

담당 부서가 두 차례 기일 미룬 후였다.

 

복잡한 절차가 있었음에도 문제를 깔끔히 해결한 부분은 충분히 박수받을 성과이다. 그러나 개인정보 유출 위험을 인지한 상태에서 해당 시스템을 잠시 동안 중지해 보안 사고를 예방할 수 있었음에도, 관련 조치를 취하지 않으며 해결을 미룬 점은 비판받아 마땅하다.

이번 문제는 큰 피해 사례 없이 해결되었지만, 다른 상황도 피해 없이 지나갈 것이라는 보장은 없다. 만일 보안 사고가 발생하면 그 피해는 행정 담당자가 아닌 고스란히 우리 원 구성원이 받는 만큼, 각별한 주의가 필요하다. 앞으로는 민감한 문제를 발견했을 때 선제적으로 임시 보호 조치를 취한 후, 문제의 원인을 신속하게 해결하는 DGIST가 되기를 기대한다.

 

 

권대현 기자 seromdh@dgist.ac.kr