지난달 25일 단일서비스인증 기반의 로그인 서비스를 제공하는 교내 일부 사이트들에서 IAM KAIST에 등록된 아이디를 입력할 경우 패스워드를 입력하지 않고도 로그인할 수 있는 치명적인 오류가 발견되었다. 이 오류는 학부 총학생회장을 역임했던 전산학부 김강인 학생이 발견해 학교 담당 부서에 제보했는데, 문제는 이 오류가 실제로 해결되기까지는 반나절 이상이 소요되었다는 것이다. 제보한 학생이 발견하기 이전부터 이 오류는 존재했을 가능성이 크므로 상당한 기간 학내 주요 전산 정보가 무방비 상태에 놓인 것이나 다름없었다. 다행히 큰 피해가 보고되지 않은 상태에서 오류는 해결되었지만, 이번 사안은 첨단 과학기술이 연구·교육되고 있는 우리 학교에서 정작 온라인 개인 정보가 얼마나 허술하고 체계 없이 다뤄지고 있는지 일깨워주었다.
이번 온라인 보안 사고가 치명적인 피해 없이 해결된 데에는 제보자 김강인 학생의 역할이 컸다. 보안 오류는 제보자 이외의 다른 학생들도 인지했을 가능성이 크지만, 담당 부서에 제보해 오류를 해결할 수 있게 한 것은 김강인 학생이 유일했다. 성숙한 시민 의식을 발휘해 큰 사고를 막아낸 김강인 학생에게 경의를 표하면서, 다른 한편으로 다른 구성원들이 오류를 알고도 오류를 제보하지 못한 데에는 단순히 시민 의식이 부족했기 때문이 아니라 어떻게 제보해야 하는지 그 절차와 방법을 알지 못했기 때문이라는 생각도 든다. 이번 사안은 학내 구성원들이 정보 보안 문제를 발견했을 경우 어떤 방식으로 담당 부서에 제보해야 하며, 제보를 받은 담당 부서 실무자들은 어떻게 하는지 매뉴얼 제정의 필요성을 제기한다.
IAM KAIST 아이디로는 학사, 교무, 예산 등 상당히 중요한 정보를 다루는 경우도 많다. IAM KAIST가 뚫리면, 극단적으로 성적과 연구 성과를 조작하고, 예산을 빼낼 수도 있는 것이다. 이렇듯 중요한 정보를 다루는 사이트들에 패스워드 없이 아이디만 가지고도 접속이 가능한 보안 사고가 발생했는데, 반나절 동안 서비스를 일시 중지하지 않고, 평상시와 같이 유지하면서 오류를 해결한 것이 과연 적절한 조치였는지도 검토해 볼 필요가 있다. 사이트의 임시 정지는 그 기간 교내 행정 대부분을 중지 혹은 지연시키는 불편을 야기할 수도 있다. 정보 담당 부서에서 실제로 큰 피해가 야기되지도 않은 보안 오류 때문에 학교 전체를 혼란에 빠뜨릴 수 있는 결정을 독단적으로 내리기가 쉽지는 않았을 것이다. 하지만 대부분의 대형사고는 서비스 이용자들이 겪게 될 약간의 불편을 걱정한 담당자의 안일한 판단이 야기한다는 점을 생각할 때, 이러한 안일한 조치가 반복되어서는 곤란할 것 같다. 이런 문제는 담당자의 개인적 판단이 아니라 미리 정해진 원칙과 매뉴얼대로 처리하는 것이 옳다.
우리 학교는 학내 구성원들이 생각하는 것보다 훨씬 중요한 정보들이 다수 생산되고 이동된다. 반면 학내 구성원들의 보안 의식은 높다고 볼 수 없다. 사소한 실수가 돌이키기 어려운 보안사고를 야기할 수도 있는 것이다. 이번 사안을 계기로 학내 구성원들에 대한 보안 교육이 강화되어야 하고, 정보 보안과 관련된 매뉴얼도 시급히 제정되어야 할 것이다.