메뉴 건너뛰기

close

명의 시민기자가 개의 기사를 작성하였습니다. 시민기자 전환하기
지난 29일 저녁, 서울대 합격자 발표 사이트(www.snu.ac.kr)가 해킹을 당해 한동안 사이트가 폐쇄되는 등 혼란을 빚었었다.

SNUnow의 보도에 따르면 이날 발표를 시작한 7시 무렵부터 합격자 발표 사이트가 몇 분 간격으로 해킹당해 합격자 확인을 시도하면 합격 여부에 따라 나오는 '합격자 공지사항'과 '불합격자 공지사항'에 장난스러운 문구가 삽입되었고, 이를 10시경 확인한 서울대 측은 즉시 원인 규명을 위해 사이트를 폐쇄했다. 그리고 당시 학교 사이트의 관리를 맡은 중앙전산소 측은 연합뉴스 등을 통해 "서울대 외부에서 해커가 침입해 사이트를 교란하여 일시적으로 폐쇄하였다”면서 "다행히 합격자 명단에 손상은 없다”고 밝힌 바 있다.

이에 기자는 누가 어떤 방식으로 해킹을 했고 다시 해킹을 당할 염려는 없는 지에 대해 중앙전산소 정보보안센터의 관계자와 연락을 취해 알아보려 했다. 하지만 관계자들이 사건이 벌어진 다음날인 30일에는 업무 관계로 자리를 비우고 있었고, 다음날부터는 설 연휴라서 출근을 하지 않아 연락을 할 수가 없었다. 그래서 설 연휴가 끝나면 다시 한번 찾아가서 물어봐야겠다고 생각하고 있던 와중, 우연히 대화를 하게 된 누군가에게서 놀라운 사실을 듣게 되었다.

A씨, “이건 해킹이 아니었다”

우리 학교 경영대에 재학 중인 01학번 A씨(가명)는 대화 도중 자신도 해킹 과정에 참여를 했으며 그것이 사실은 해킹이라고 말할 수준도 아닌, 인터넷만 조금 다룰 줄 아는 사람이라면 누구나 할 수 있는 일이었다고 했다.

그는 “도대체 학교에서 어떻게 관리를 하는 건지.. 이건 해킹이 아니었다”라고 말을 꺼내기 시작하여 “이상한 말이 나오길래 이걸 어떻게 했을까 궁금해서 호기심에 한번 해보니 나도 할 수 있었다”면서 “해킹이라는 표현이 참으로 부적절하다”고 이야기했다.

그렇다면 이 사건은 도대체 어떻게 일어난 것일까?

해킹은 어떻게 이루어졌는가?

우선 그는 자신이 어떤 방식으로 사이트에 접근했는지에 대해 자세하게 설명해주었다.

일단 공지사항에 이상한 말이 나온 것을 보고 궁금해서 <합격자 공지사항>이라는 메뉴에 대고 마우스 오른쪽 버튼을 눌러 “바로가기 복사”를 했다.

ⓒ SNUnow
ⓒ SNUnow
ⓒ SNUnow
그리고 익스플로러의 새 창을 열고 거기다 그 주소를 붙여 넣으니‘입시게시판’과 ‘관리자목록(for 입력)이라는 메뉴가 나왔다. 거기서 '관리자목록(for 입력)‘을 클릭하자 입시에 관련한 공지사항 게시판의 목록이 나왔다. 그 중 유일하게 '공개'로 설정되어 있던 '정시모집 일반전형 최종합격자 공지사항' 게시판을 클릭하자 바로 합격자 공지사항 및 불합격자 공지사항을 편집할 수 있는 곳으로 접속이 되었다. 여기서 공지사항에 내용을 마음대로 입력하고 “반영”을 클릭하자 '사용자 인증이 되지 않습니다'라는 메시지가 나왔으나, 다시 합격자 발표 홈페이지에 접속해 보니 자신이 금방 입력한 공지사항이 나오더라는 것이다.

ⓒ SNUnow
그러니까 인터넷을 조금 이해하고 있는 사람이라면 잘 접속이 되지 않는 사이트에서 자주 사용하는 주소 바로가기복사를 이용하여 이러한 경로가 있다는 사실을 쉽게 알 수 있었고, 그 경로로 접속해도 원래는 '비공개'로 설정되어 관리자만이 접속할 수 있어야 할 게시판이 '공개'로 설정되어 누구나 접속할 수 있었기 때문에 이러한 '장난'(?)이 가능했던 것이다.

이를 확인해보기 위하여 기자는 직접 그가 말해준 방식대로 해보려 했다. 하지만 그와 대화를 나눈 2월 1일 경에는 합격자 확인을 해도 공지사항이 아예 나오지 않게끔 되어 있어 이러한 경로로 공지사항 편집 모드에 접근하는 것은 불가능하게 되어 있었다. 그래서 이번에는 다른 경로를 통해 입수한 방법으로 직접 시도해보니 바로 편집 모드가 나왔다. 그림 2부터 4는 기자가 2월 2일에 직접 시도해 본 화면이다.

현재는 합격자 확인을 해도 공지사항이 나오지 않기 때문에 공지사항을 편집해도 반영이 되지 않게끔 되어 있다.

그럼 누가 했는가?

또한 이번 사태에서 특이했던 점이 있다면 공지사항의 메세지가 몇 분 간격으로 계속 바뀌었다는 것이다. 이에 대해 묻자 A씨는 "처음에 어떤 사람이 해보니까 되길래 자기 친구들한테 막 알려준 것 같다"면서 이번 사건이 집단적으로 이루어졌음을 암시했다. 하지만 그도 확실히 어떤 집단이 이번 사건을 주도했는지는 정확히 알지 못했다.

이때 또 다른 누군가의 제보가 있었다. 그는 합격자 확인을 하다가 공지사항에 ㅇ 사이트의 이름이 나와있는 걸보고 아무래도 그 사이트가 이번 사건과 관련이 있지 않느냐는 사실을 지적했다. 그리하여 그가 지적한 ㅇ 사이트를 찾아가 보았다.

ㅇ 사이트는 수험생들을 위한 정보 등을 제공하는 곳으로 수험생뿐만 아니라 대학생들도 꽤 많이 가입해 있어 유명한 ‘디씨인사이드(dcinside.com)'와 비슷한 커뮤니티 문화가 형성되어 있었다. 원래는 소수의 공부 잘하는 고등학생들이 수험 정보를 공유하기 위해 만든 사이트인데 점차 사람들이 늘어 수험생들 사이에서는 꽤 유명하게 됐다고 한다.

이 사이트의 게시판에서 기자는 해킹이 있었던 1월 29일 무렵의 글들을 뒤져 이 사건과 관련된 듯한 글을 몇 개 찾아냈다. 그 글에는 합격자 공지사항 편집 모드로 접속할 수 있는 주소가 명시되어 있었으며 이 사이트의 누군가가 그 주소를 처음 알아냈다는 것을 암시하는 내용도 있었다.

이에 기자는 이 사이트를 이용하는 B씨와 만나 이번 사건에 대해 물어봤다. 그는 “수험생들은 이 사건의 범인이 ㅇ사이트에 있다는 사실을 대부분 알고 있을 것”이라 면서 “ㅇ사이트에 접속하는 서울대에 재학 중인 모씨가 한 일이라고 소문이 났다”고 얘기해주었다.

하지만 기자가 직접 확인해 본 결과로는 이 사이트에 가장 먼저 관련한 주소를 공개한 것은 자신을 고3 교사라고 지칭한 사람이었다. 그는 서울대 합격자 발표를 보기 위하여 계속 사이트에 접속을 시도하다가 이렇게 이상한 주소를 발견하였다고 주소를 공개한 글을 통해 밝히고 있다. 그러고 나서 계속 주소를 공개한 글들이 올라오기 시작한 것이다.

▲ ㅇ 사이트에서 가장 먼저 주소가 공개된 글
ⓒ SNUnow
그러니까 위의 내용을 정리해 보면, 누군지는 확실하진 않지만 ㅇ 사이트에 접속하는 누군가가 처음에 우연히 위와 같은 경로로 공지사항 편집 모드에 접근할 수 있다는 사실을 알아냈고, 이렇게 알아낸 주소가 게시판을 통해 알려져 그걸 본 사람들이 단체로 접속을 해서 장난을 친 것이다.

▲ 그 후로 o 사이트에는 이와 관련한 글들이 계속 올라왔다
ⓒ SNUnow
“서울대 외부에서 해커가 침입해...”

기자가 “외부에서 해커가 침입했다”는 중앙전산소 측의 설명을 듣고 나서 떠올린 것은 누군가 관리자 모드로 접속한 비밀번호를 우연하게 알아내었고, 그를 통해 사이트 내부로 접속하여 자기 마음대로 조작했을 것이라는 짐작이었다. 실제로 관리자 모드로 접속할 수 있는 주소가 외부로 노출되어 있어 관리자 아이디와 비밀번호를 알아내는 사람이 있다면 누구나 접속할 수 있는 상황이었던 것이다.

만약 기자가 처음 생각했던 방식대로라면 비록 보안의 허점을 이용하기는 했으나, 비밀번호를 이루는 수십만 가지의 조합 중 하나를 맞춰야 하는 것이었기 때문에 엄청난 우연이거나 아니면 전문적인 기술을 이용한 해킹이 아니라면 힘든 것이다.

하지만 만약 A씨의 말대로라면 이번 사태는 어처구니없는 관리의 실수로 인해 발생한 하나의 해프닝이라 할 수 있는 것이다. A씨가 접근한 방법은 컴퓨터에 문외한인 기자도 쉽게 할 수 있는 것으로, 관리자가 공지사항을 입력할 수 있는 통로에 미처 관리자 비밀번호를 설정해놓지 않아 누구나 접근할 수 있었던 것일 뿐, 전문적인 해킹 기술 같은 건 전혀 필요가 없었다. 굳이 '해커'나 '해킹'이라는 단어를 사용할 필요가 없었던 것이다.

대문에 자물쇠 걸어놓는 것을 깜박한 격

그리하여 중앙교육전산연구소 정보보안센터를 찾아가서 이에 대해 물어보았다. 관계자 역시 이번 사건에 대해 “(게시판 프로그램을 이루고 있는) CGI는 누구나 들어갈 수 있는 프로그램 형식”이라며 “해킹이라 볼 수 없다”고 말했다. 그러면 이러한 접근 경로에 대해 알고 있었냐는 기자의 질문에 대해서는 “어떤 경로로 뚫렸는지 추후에 알게 되었다”고 답했다.

물론 그의 설명대로 CGI는 경로만 알면 쉽게 접근하여 조작할 수 있는 프로그램 형식이다. 그래서 대부분의 사이트에서 관리자만이 접속해야 할 CGI 경로는 외부로 노출되지 않게 막아 놓는다. 설령 노출되더라도 CGI도 관리자 비밀번호만 잘 걸어놓으면 일반 사용자가 접속하는 것은 막을 수 있다. 그러니까 서울대 측이 공지사항 관련 CGI에 대해 일반 사용자가 접속하는 것을 막을 수 있는 조치를 취하지 않았기 때문에 이번 사태가 벌어진 것이다.

그리고 이러한 관리 소홀과 더불어 사이트 폐쇄 조치가 사건이 일어난 지 세시간 후인 10시 경에나 이루어졌다는 점이나 사건이 벌이진 다음 날인 30일 아침까지도 계속 합격자 공지사항이 바뀐 걸로 봐서는 서울대 측이 상황에 제대로 대응하지 못했다는 것 역시 알 수 있다.

비유컨대 이번 사건은 애초에 관리를 맡은이가 대문은 닫아놓고선 자물쇠를 걸어놓는 것을 깜박한데다 대문이 열린 줄도 모르고 몇 시간이나 방치하고 있었기 때문에 발생한 일이라 할 수 있는 것이다.

이렇다할 피해는 없었지만…

관계자는 덧붙이기를 “이번 사건이 합격, 불합격 여부와는 전혀 관련이 없기 때문에 크게 신경 쓸 필요가 없다”고 했다. 그리고 글을 써놓고 간 사람들에 대해서는 “추적하는 것은 거의 불가능하기 때문에 사법 처리할 생각은 전혀 없다”고 얘기했다.

실제로 이번 사건에서 치명적인 피해라고 할만한 것은 없었다. 기껏해야 공지사항을 통해 장난섞인 메시지가 나왔을 뿐, 흔히 '크래킹(cracking)'이라 일컬어지는 악질적인 시스템 파괴 행위 같은 건 없었기 때문이다.

하지만 발표 당일 관리 소홀로 인한 실수로 몇 시간 동안이나 사이트가 폐쇄되어 합격 여부를 확인하려던 수험생들과 학부모들이 불편을 겪었다는 것은 분명 문제가 있다. 게다가 공지사항에서 그런 메시지를 본 사람들은 혹시 사이트가 해킹을 당했을까봐 자신의 합격 여부를 신뢰할 수 없지 않았을까?

그리고 이번에는 이 정도로 끝났지만, 매우 심각한 문제가 일어날 수도 있는 가능성도 있었다. 공지사항 게시판의 CGI 프로그램뿐만 아니라 사이트에서 입학 관리를 총괄할 수 있는 관리자 모드로 접속할 수 있는 통로가 외부에 공개되어 있어 이러한 경로를 통해 해킹을 하여 자칫 관리자 비밀번호가 뚫릴 경우에는 합격, 불합격 여부에 대한 조작도 가능하기 때문이다. 실제로 ㅇ 사이트에 관리자 모드로 접속할 수 있는 경로 역시 공개되어 있었다.

더군다나 과연 누가 보안을 담당하는 것인지 책임 소재 또한 불분명했다. 기자가 정보보안센터를 찾았을 때 관계자는 “처음에는 우리와 입학관리처가 같이 운영했지만 이제는 입학관리처에서 전담하고 있다”면서 “기술적인 면을 포함한 모든 관리를 하고 있기 때문에 그쪽에 가서 물어보라”고 말했다. 하지만 입학관리처에서는 “우리 쪽에서 관리를 했는지 전혀 몰랐다”면서 다시금 중앙전산원으로 가서 물어보라고 대답했다.

결국 이번 사건은 요새 해킹 기술의 발달에 따라 대두되고 있는 시스템 보안 문제를 굳이 끌어들이지 않아도 될, 관리자의 정말 어이없는 기초적인 실수에 의한 하나의 해프닝이었다. 하지만 이러한 관리 소홀히 정말 중요한 시스템의 보안에서도 나타난다면? 그냥 웃고 넘어갈 문제는 아니다.

덧붙이는 글 | 이 기사는 서울대 인터넷 언론 SNUnow(http://www.snunow.com)에도 게재됩니다.


태그:
댓글
이 기사가 마음에 드시나요? 좋은기사 원고료로 응원하세요
원고료주기

진실과 정의를 추구하는 오마이뉴스를 후원해주세요!

후원문의 : 010-3270-3828 / 02-733-5505 (내선 0)

오마이뉴스 후원하기