서울대 포털'졸업생 이두희씨, 학교 중앙전산 허술 페이스북에 폭로'

입력 2014년02월28일 20시44분 심승철
카카오톡 네이버 밴드 공유

학교포털사이트 '마이스누'의 보안이 허술 '교수 월급정보까지 손쉽게'

[여성종합뉴스/ 심승철기자] '서울대 천재 해커'로 알려진 이두희(31)씨는 28일 오후 자신의 페이스북에 "열흘째 학교 서버를 이리저리 보고 있는데 정말 놀라운 문제가 있다"는 글을 올렸다.

이씨는 "서울대 모든 학생과 교직원의 포털 모바일 페이지 아이디와 비밀번호가 유출될 수 있는 문제를 발견했다"며 "유출된 정보로 포털에 로그인하면 개인 주민등록번호와 성적, 주소부터 시작해 교수들 연봉까지 알 수 있다"고 설명했다.

이어 "서울대에서 터질 수 있는 최고의 보안 사고라고 생각한다"며 "교수 아이디와 비밀번호를 구해 포털에 로그인하면 학생의 성적까지도 입력할 수 있는 상황"이라고 강조했다.

그는 "이미 정보가 유출됐을 가능성도 높다"며 "학교 중앙전산원에 이를 알렸고, 고치겠다는 답변을 받았다"고 덧붙였다.

하지만 이씨가 학교 서버 문제점을 발견한 적은 이번이 처음이 아니다. 이씨는 지난 2012월 3월1일 학교에서 많이 쓰는 서버 '플라자'의 허술한 보안 관리로 최고관리자에 가까운 권한을 손쉽게 구할 수 있었다. 이씨는 이를 발견하고 서울대 중앙전산원에 바로 연락하기도 했다.

나흘이 지나도록 학교 측은 아무런 대응이 없었고, 여러 부서로 전화를 돌리다가 겨우 '해당 문제를 고치고 있다'는 답변만 받았다.

11일 뒤 이씨가 다시 확인해봤지만 달라진 것은 없었다. 여전히 최고관리자 권한을 쉽게 가져갈 수 있었고, 학교 공식 홈페이지에 '타조가 춤 추는 사진'을 올릴 수도 있는 상황이었다.

심각한 문제임에도 학교가 느리게 대응하는 데 참다 못한 이씨는 다음날 해당 서버 데이터베이스 시스템에 접속해 한 관리자의 계정을 알아냈다. 이를 전산원에 메일로 보내며 다시 문제를 제기했다.

관리자로 로그인 하면 학생의 주민번호와 학점, 주소, 군 제대 여부 등 거의 모든 개인정보를 좌지우지 할 수 있는 권한을 갖게 된다.

이씨는 "이렇게 한바탕 난리를 치고 나서야 학교에서는 서버를 3월28일 최종적으로 고쳤다"며 "문제를 발견하고 제보한 학생에게는 귀찮다는 듯한 답변만 돌아왔다"고 밝혔다.

한편 이씨는 서울대 컴퓨터공학과 2003학번 출신으로 서울대 학생이 사용하는 자체 교수(강의)평가 사이트 '스누이브'를 개발했다. 프로그래밍 동아리 '멋쟁이 사자처럼'을 만들어 서울대 학생을 중심으로 전공에 관계없이 프로그래밍을 가르치고 있다.

이씨는 올해 2월 tvN 프로그램 '더 지니어스 2'에 출연해 유명세를 탔다. 당시 함께 출연한 전 프로게이머 홍진호가 '일베(일간베스트) 논란'에 휩싸이자 '일베용어사전'을 개발해 관심을 끌기도 했다.
 

무통장입금 정보입력
입금할 금액은 입니다. (입금하실 입금자명 + 입금예정일자를 입력하세요)

가장 많이 본 기사

연예가 화제

동영상뉴스

포토뉴스

칼럼/기고/사설/논평

홍성찬
홍성찬
홍성찬