타인 계정 이용하기 쉬워 / 통합 아이덴티티 도입 고려

지난달 2일, 친구의 개인정보를 이용해 대학 입학을 취소해버린 모 대학 학생이 불구속 입건되었다. 이 학생은 친구의 SNS와 블로그에 올라와 있던 개인정보를 이용해 악의를 품고 범행을 저질렀다. 이 사례와 같이 개인정보는 노출되었을 경우 악의적 범행에 이용될 수 있다. 한편, 우리 학교 기숙사 시스템(이하 KDS)에서도 악용될 수 있는 많은 허점이 발견되고 있다. KDS에 로그인하는 아이디와 비밀번호는 학번과 주민등록번호 앞자리이며, 또 최근 우리 학교 각 커뮤니티와 SNS에서 약간의 조작으로 신체검사서를 제출하지 않아도 방 배정 결과를 확인할 수 있는 방법이 퍼지기도 했다.


OTL, 통합예약시스템(URS), Vote 서비스 등, 우리 학교 많은 도메인에는 일명 ‘포탈 계정’으로 불리는 ‘KAIST 통합 아이덴터티/접근관리 서비스(이하 통합 아이덴터티 서비스)’로 로그인 할 수 있다. 하지만 이러한 시스템이 갖춰져 있음에도 불구하고 KDS는 통합 아이덴터티 서비스를 이용하고 있지 않다. 또한, 우리 학교 메일이나 ARA와 같이 새로운 계정을 만드는 것이 아니라 학번을 아이디로, 주민등록번호 앞자리를 비밀번호로 로그인하게 되어있다. 학번은 학생증에 노출되어있고, 주민등록번호는 생년월일만 알면 쉽게 알아낼 수 있는 개인정보이다. 따라서 약간의 노력만 들이면 남의 계정으로 KDS에 로그인할 수 있다는 것이다. 아직 피해 사례가 발견되지는 않았지만, 누군가 악의를 품는다면, 지인의 계정으로 로그인해 기숙사 입사 신청을 취소하거나 중도퇴사 신청을 할 수도 있는 상황이다.


학생복지팀에서는 매년 혹시 모를 전염병의 전파를 막기 위해 기숙사 입사 예정자에게 채용신체검사서를 요구한다. 기숙사 입사 예정자들은 기숙사 방 배정 결과가 발표되는 날까지 제출하지 않으면 방 배정 결과를 조회할 수 없고, 입사 기간까지 제출하지 않으면 기숙사 입사가 불가능하다. 이는 검사서를 속히 제출하게끔 하기 위한 학생복지팀의 방침이다. 한편, 지난 1월 28일 기숙사 방 배정 결과가 발표되던 날, 우리 학교 익명게시판에 한 게시글이 올라왔다. 게시글에는 검사서를 제출하지 않았음에도 불구하고 구글 크롬 브라우저를 이용해 약간의 콘솔 조작으로 방 배정 결과를 알아내는 방법이 적혀있었다. 이 게시글로 인해, 일각에서는 우리 학교 학우들이 간단히 돌파해낼 수 있을 정도로 허술한 KDS의 보안을 비판하는 목소리도 나왔다.


학생복지팀 임종묵 팀장은 보안 문제를 인지하고 있으며, 이를 해결하기 위해 노력하고 있다고 전했다. 또, 현재 KDS 고도화 사업에 통합 아이덴터티 서비스 도입을 고려하고 있다며 앞으로의 방향을 밝혔다. 임 복지팀장은 검사서를 제출하지 않아도 기숙사 방 배정 결과를 조회할 수 있다는 사실을 KDS 개발업체에서 알아차렸다며 현재 보완 기획단계에 있다고 밝혔다.
 

저작권자 © 카이스트신문 무단전재 및 재배포 금지