[디지털데일리 이종현기자] 최근 해킹이라고 정의하기도 어려운 수준의 낮은 수준의 사이버보안 사고가 잇따랐다. 지난해 감사원을 통해 지적받은 취약점을 개선하지 않은 교육평가원의 ‘수능 성적 유출’, 한 언론사의 원격제어 솔루션 ID, 비밀번호 유출로 인한 ‘전광판 디페이스(화면변조)’ 등이다.
두 사건은 ‘해킹’이라고 하기 민망한, 사이버보안 의식 결여로 인해 생긴 사고다. 전문적인 지식을 갖지 않은 일반인도 쉽게 할 수 있는 수준이었다.
지난 12월1일부터 12월2일 사이 졸업생 312명이 한국교육과정평가원(이하 평가원) 수능 성적표 발급 서비스에 접속해 자신의 성적을 사전 조회하는 ‘수능 성적 유출’ 사건이 발생했다. 12월4일 발표 예정이었던 것에 비해 3일 빨리 성적을 열람한 셈이다.
성적유출은 웹페이지 HTML에서 기존 성적 이력 연도를 ‘2020’으로 고치는 방식으로 이뤄졌다. 단순한 소스코드 조작만으로 정보가 유출될 정도로 보안이 취약했다. 제대로 된 접근제어 기능을 갖추지 않아 발생한 사고다.
문제는 지난해 8월 감사원으로부터 평가원의 보안 관리가 허술하다는 지적을 받았다는 점이다. 이미 지적받은 보안 문제를 1년이 지나서도 개선하지 않았다.
이번에는 시험이 끝난 뒤의 수능 성적이었지만 다른 기관에서 유사한 보안 취약점이 있을 경우 더 심각한 문제를 초래할 수 있다. 대학 등 기관의 경우 학번을 바꿔 입력해 타인의 정보를 열람할 수 있다. 금융이나 의료 정보를 관리하는 기관이라면 더 심각하다.
원격제어 솔루션의 ID와 비밀번호가 유출로 전광판의 광고 영상 대신 조롱하는 문구가 노출된 부산 서면의 언론사 전광판도 사이버보안 의식 결여로 생긴 사고다.
국내 전광판은 여러가지 형태의 원격제어 솔루션을 통해 관리되고 있으나 보안 수준은 업체별로 차이가 나기때문에 신중한 선택이 요구된다는 게 관련업계 전문가의 조언이다. 이런 원격제어 솔루션은 아이디와 비밀번호를 알면 해당 기기를 통제할 수 있게 되는데, 그만큼 아이디와 비밀번호 관리가 중요하다.
최근 문제가 발생한 언론사의 전광판은 팀뷰어에 접속하는 과정, ID와 비밀번호가 전광판에 고스란히 노출됐다. 만약 해당 언론사를 조롱하는 듯한 문구가 아닌, 사회 혼란을 일으킬 만한 가짜뉴스로 디페이스했다면 단순 헤프닝으로 끝나지 않았을 수도 있다.
보안업계 관계자는 “많은 것이 디지털화하면서 사이버보안의 중요성이 커지고 있다. 데이터가 곧 자산인 사회”라며 “보안 담당자는 물론 개개인의 경각심을 가지고 사이버보안 의식을 강화해야 한다”고 말했다.