국내 학교들의 보안취약점을 테스트해 본 결과 많은 학교들의 웹사이트가 XSS 취약점에 무방비로 노출되어 있다는 것이 드러났다. 심지어 강도높은 SQL인젝션이나 웹쉘 같은 취약점에 노출된 학교도 있는 것이 확인됐다. 이번 테스트를 진행한 변 모씨는 “몇몇 학교의 보안취약점을 테스트해 본 결과 상태가 심각하다는 것을 알게 됐다. 학교 사이트에 대한 전면적인 보안취약점 조사가 이루어져야 할 것”이라고 경고했다.
 
학교 사이트의 보안문제 관심을 갖게 된 이유에 대해 변씨는 “2년 전, 인터넷 게시판을 통해 자신의 학교를 해킹했다고 자랑을 하는 소위 '스크립트 키드' 친구들을 통해 문제가 심각하다는 것을 처음 알게 됐다”며 “처음엔 그 친구들 학교만 해당되는 줄 알았는데 검색엔진을 통해 다른 사이트 학교에도 조사를 해보니 여러 학교에서 XSS취약점이 다수 발견됐다”고 설명했다.
 
이번에 변씨가 취약점을 조사한 것만해도 11개 학교에서 XSS 취약점이 발견됐다. 조사에서 취약점이 존재하고 있는 것으로 확인된 학교 사이트는 J고등학교, S중학교, M중학교, G중학교, M중학교, Y중학교, S중학교, C중학교, J중학교, S중학교, O중학교 등으로 나타났다.(일선 학교의 정보보호 담당자분의 노고를 알고 있기 때문에 학교명은 공개하지 않고 이니셜로 수정했음.)
 
그는 “모든 학교 사이트를 조사해 볼 시간이 없어서 몇몇 친구들과 조사를 진행했는데 쉽게 11개 학교의 취약점을 찾아낼 수 있었다”며 “이런 기본적인 XSS 취약점도 패치가 안된 상태인데 다른 취약점이 없으리라고 보장할 순 없다. 교과부나 관할 교육청이 의지를 가지고 조사를 진행해야 할 것”이라고 강조했다. 교과부와 관할 교육청의 대대적인 학교 홈페이지 취약점 점검이 이루어져야 한다. 한국에 초중고 그리고 대학교에 있는 관리안되는 PC만 좀비PC로 만들어도 엄청난 공격이 가능하다는 것을 알아야 한다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com