전국 1만여명의 공립 초등학교 교사 주민등록번호와 성명 등의 개인 정보가 외부로 유출되는 사고가 발생했다.
교육과학기술부의 인가를 받은 원격연수원 티처원(대표 김영순)은 관리자 계정을 허술하게 관리해 지난 20008년~2010년까지 원격으로 강좌를 들은 초등학교 교사들의 명단리스트가 외부에 무더기로 노출된 것으로 30일 파악됐다.
이 관리자 폴더 리스트에는 소속학교, 직위, 성명, 주민등록번호, 강좌명, 연수일시, 소속 교육청 등의 민감한 개인정보들이 담겨져 있고 이 리스트가 여과장치 없이 고스란히 인터넷에 유출, 해커들이 이를 악용할 경우 적지 않은 피해를 입을 것으로 우려된다.
특히, 티처원의 전산시스템을 관리하는 업체인 정교는 이 같은 사실을 모른채 수년 동안 방치한 것으로 지적됐다. 1만명의 교사를 회원으로 보유한 티처원이 인가를 받은 2007년 이후 보안 점검을 허술하게 운영, 외부 공격에 무방비 상태로 놓인 것이다.
KAIST 수리학과 한상근 교수는 “정부가 교사 연수 교육 업무를 외부 기관에 위탁하면서 외부기관의 보안에 대한 관리 감독을 허술하게 관리한 탓에 교사의 개인정보가 외부에 대량으로 유출됐다”며 관리자 모드에 대한 보안이 시급하다고 지적했다.
한 보안 전문가는 “관리자 접근 제어를 걸어두거나 주민등록번호와 같은 주요 정보는 마스킹 처리한다든지 특정 뷰어에서만 확인가능하게 여러 보안적인 조치를 취해야 하는데 이를 방치했다”며 “단순히 파일 자체로만 저장해서 사용편의성만 추구한 결과”라고 말했다.
또 다른 보안 전문가는 “회원 정보 리스트는 관리자 폴더에 위치한 것이라 권한을 가진 담당자만이 볼 수 있도록 설정이 되어야하는데 관리자 인증절차도 없다”며 “사이트 개발단계부터 시큐어코딩 등이 부족, 취약점이 내재된 것으로 파악된다”고 말했다.
티처원 관계자는 “뒤늦게 보안취약점을 발견하고 이를 외부인의 관리자 폴더 접근을 차단했다”고 말했다.
장윤정기자 linda@etnews.co.kr
-
안수민 기자기사 더보기
