구멍 난 EBS 보안, 무엇이 문제인가?

한국교육방송공사(EBS)가 해킹 사고로 난관에 처했다. 지난해 3월 EBSi 수능강의 사이트가 분산서비스거부(DDoS) 공격을 받은데 이어 최근 홈페이지 해킹으로 400만명의 개인정보가 유출됐다.

EBS는 중국발 IP를 통해 일부 회원들의 개인정보가 유출된 사실을 확인하고 피해사실을 관계기관과 수사기관에 신고했다고 17일 밝혔다. 이에 경찰청 사이버테러대응센터는 정확한 사고경위 파악을 위해 본격 수사에 착수한 상태다.

EBS는 유출된 회원정보가 주민등록번호와 계좌번호 등을 포함하지 않은 단순 개인정보이며 EBS가 운영하는 수능사이트 역시 별도 보안 시스템으로 운영돼 이번 사고와 무관하다는 점을 강조했다. 하지만 보안업계에서는 현재까지 드러난 사실만으로 기술적인 부분까지 문제가 없다는 주장은 섣부른 결론이란 지적이다.

■EBS가 밝힌 해킹 경로는?

이번 사고로 유출된 회원 정보는 2009년 12월 이전에 가입된 회원 약 400만명 가량의 이름, 아이디, 전화번호, 이메일, 주소, 비밀번호 등으로 추정된다.

EBS는 자체 모니터링으로 유출 사실을 감지하는 즉시 위탁운영 업체인 KT와 공조해 대처했으며 현재 모든 사이트는 정상적으로 운영되는 상황이라고 설명했다. EBS는 홈페이지 구축단계서부터 KT와 협력해 보안관제를 전체적으로 KT에 위탁해 운영하고 있다.

EBS는 개인정보가 유출된 경로에 대해 공격자가 EBS 홈페이지 내에 뉴스제보 게시판을 통해 첨부파일 형태로 특정 해킹 툴을 심어두고, 해당 툴이 어느 시점에 가동되면서 이전 데이터베이스(DB)를 탈취해 간 것으로 추정했다. 중국발 IP를 밝혀낸 점과 내부PC의 악성코드 감염 등 문제가 없었던 점에 미뤄 내부보안에는 문제가 없었다는 설명이다.

EBS 관계자는 “이번 사고로 유출된 정보는 2009년 12월 이전 정보로 사이트 통합작업을 진행하면서 삭제된 정보 중 일부가 남아있던 것으로 추정되며 현재 DB와는 관련이 없다”면서 “회원들의 주민등록번호와 계좌번호 등 정보는 보관하고 있지 않으며 수능사이트는 별도로 강화된 보안 시스템으로 운영돼 이번 사고와 무관하다”고 설명했다.

하지만 이번 사고로 유출된 개인정보의 위험성도 무시할 수 없다는 게 전문가들의 견해다. 문송천 카이스트 교수는 “주민번호 없이도 성명, 전화번호, 이메일, 주소만으로 개인을 식별할 수 있는 만능 키가 된다”면서 “이번 사고의 위험도를 인지 못하고 넘어 가려는 것 같다”고 지적했다.

■EBS 홈페이지 무엇이 문제?

보안업계 관계자들도 EBS가 밝힌 사실들에 대해 몇 가지 의문을 제기했다. 아직 경찰이 해당 사건에 대한 수사를 진행 중이지만 현재까지 드러난 사실만으로도 기술적으로 명확하지 못한 부분이 있다는 것이다. 개인정보가 유출될 동안 이상징후를 왜 파악하지 못했느냐에 대한 의문도 제기된다.

EBS가 현재까지 밝힌 정황으로만 미뤄볼 때 보안업계에서 예측하는 공격 시나리오는 웹해킹과 DB서버 접근할 수 있는 권한을 탈취해 개인정보를 유출해 간 것이다.

익명을 요구한 한 보안 전문가는 “기본적으로 해킹툴에 의해 문제가 발생한 것이 아니라 첨부파일에 있는 악성코드가 백도어 기능을 가지고 있었던 것이며 이를 통해 DB까지 접근할 수 있었던 것 같다”면서 “이는 홈페이지상 보안에 문제가 있어 웹백도어에서 DB로 직접 접근해 개인정보를 탈취해갔을 가능성이 높다”고 말했다.

먼저 홈페이지의 보안에 취약점이 있었다는 것이다. 중국발 IP가 발견된 점으로 미뤄보아 외부에서 홈페이지를 통해 DB서버까지 접근했다는 것인데 웹만 통해서 한 번에 내부 DB서버까지 접근할 수 있었다는 것은 그만큼 보안이 제대로 이뤄지지 않았기 때문일 가능성이 높다.

보안 전문가들은 DB서버에 접근할 수 있는 권한관리에 대한 문제점도 있었을 가능성이 제기하고 있다. 아무리 예전 DB가운데 일부가 남아있었다 하더라도 개인정보 관리가 제대로 이뤄지지 않았다는 것이다.