교육부에서 운영하는 나이스 홈에듀 민원서비스에 심각한 보안취약점이 존재하는 것으로 확인됐다. 홈에듀 민원서비스 사이트에서는 졸업증명서, 학교생활기록부, 재직증명서, 경력증명서, 검정고시 합격증명서, 성적증명서 등을 온라인으로 발급 신청하고 발급받을 수 있는 서비스를 제공한다. 하지만 간단한 코드수정만으로도 타인의 증명서를 발급받을 수 있어 심각한 개인정보 유출로 이어질 수 있는 것으로 드러났다.

이번 취약점을 발견하고 데일리시큐에 취약점이 보완될 수 있도록 해달라며 제보한 박상수(더블에스 미디어) 대표는 “아무런 해킹툴 없이도 간단한 조작만으로 다른 사람이 신청한 증명서를 발급받을 수 있다는 것을 증명서를 발급받는 과정에서 우연히 발견하게 됐다”며 “이번 취약점은 특정 코드만 확인하고 증명서를 발급해 주고 있기 때문에 발생하는 문제점이다. 암호키를 난수로 부여하고 그 키를 가진 사람만 자신이 신청한 증명서를 발급받을 수 있도록 해야 안전할 것”이라고 밝혔다.

특히 “해당 취약점을 악용하면 파이썬 같은 언어로 수집 봇을 만들어 코드를 수정하면 이전에 발급신청을 했던 많은 신청자들의 증명서를 다운로드 할 수 있게 돼 심각한 개인정보 유출 문제가 발생할 수 있어 신속한 보안조치가 필요하다”고 강조했다.

데일리시큐도 해당 취약점에 대해 제보자와 문제점을 확인해 본 결과 심각한 상황임을 확인할 수 있었다. 특히 제보자는 해킹 공부를 전문으로 한 것도 아니고 일반적인 프로그래머로서 이러한 취약점을 발견했다는 점이다. 즉 전문적인 해커가 아니라도 알 수 있는 수준의 취약점이라는 것. 기본적인 보호조치 미흡으로 보인다.

개인정보가 포함된 증명서를 발급하는 국가 기관 사이트는 이번 취약점에 대해 일괄적인 보안점검이 필요하다. 특히 교육부는 이번 사안에 대해 신속한 보안조치가 시급하다. 더불어 홈페이지 제작과정에서 보안코딩과 개발자 보안교육에 대한 보다 철저한 관리가 필요한 상황이다.

★정보보안 & IT 대표 미디어 데일리시큐!★