지난달 25일 교내 일부 사이트에서 치명적인 보안 허점이 발견되었다. 단일서비스인증 기반 로그인 서비스를 제공하는 교내사이트에서 비밀번호를 입력하지 않고도 IAM KAIST에 등록된 아이디만으로 로그인이 가능했던 것이다. KLMS, KDS 등의 교내 사이트에서 발견된 취약점은 발견 당일 18시 10분경에 해결되었다.

이번 취약점은 전산학부 김강인 학우가 최초로 발견했다. 김 학우는 페이스북 페이지 ‘카이스트 대신 전해드립니다 2(이하 카대전)’에 제보를 올리기 위해 IAM 계정을 이용하는 카대전 사이트에 로그인하던 도중 아이디만 입력했는데도 로그인이 완료되는 현상을 발견했다. 당시 김 학우는 자신의 코드에 문제가 있거나, 서버 캐시 메모리에 저장되어 있던 로그인 정보가 전송되어발생한 문제라고 생각했다. 캐시 메모리는 임시 데이터를 저장하고 있는 공간으로, 로그인 정보가 캐시 메모리에 남아있어 같이 전송되었을 경우 사용자 입력 없이도 로그인되는 상황이 생길 수 있다. 이에 김 학우는 서버를 초기화하는 등 문제를 해결하려 시도했지만 고쳐지지 않았다. 이상함을 느낀 김 학우는 단일 서비스 인증 서버에 아이디만 포함한 정보를 전송한 결과 로그인되는 것을 확인했고, 보안 취약점의 원인이 학교 서버 측에 있다고 결론 내렸다.

김 학우는 학교 측에 해당 사이트들의 서비스를 일시적으로 중지해달라는 요청을 보냈지만, 해당 서비스는 한나절 이상 노출되었다가 중지되었다. 자칫 잘못하면 각각의 서비스들에 저장되어있는 학우들의 개인정보 유출로 이어질 수 있는 상황이었다.

학교 측 IT 개발팀의 조은지 직원은 클라이언트 사이드 스크립트를 변조해 패스워드 없이 로그인했을 경우 서버 측에서 별도로차단하는 로직이 존재하지 않아 문제가 발생했다고 밝혔다. 클라이언트 사이드 스크립트는 웹 브라우저 등의 클라이언트에서실행되는 프로그램으로, 소프트웨어를 제어하기 위해 사용된다. 클라이언트 사이드 스크립트는 사용자가 임의로 조작한 뒤 실행할 수 있어, 서버에 취약한 데이터를 필터링하는 로직이 없다면 이번과 같은 보안 취약점으로 이어질 수 있다. 조 직원은 현재는 패스워드 없이 로그인을 시도할 경우 에러 페이지로 연결되도록 조치를 완료한 상태라고 밝혔다.

조 직원은 앞으로는 취약점 분석진단을 수동으로 하는 것에 초점을 두고 시스템 보안에 신경을 써서 우리 학교구성원들이 신뢰할 수 있는 시스템을 제공하도록 노력하겠다고 전했다.