안산교육지원청 “해당 취약점 수정하고 웹방화벽 도입 서두를 것”
[보안뉴스 오병민] 안산교육지원청 내 47개 학교가 SQL인젝션과 같은 기본적인 해킹에 취약한 것으로 드러났다. 해당 학교들의 관리자 페이지는 SQL인젝션 취약점을 통해 메인 관리자 계정에 쉽게 접속할 수 있어 학생 및 학부모들의 개인정보 유출에 대한 우려도 나타나고 있다.

문제는 이들 학교의 홈페이지 시스템에 이용되는 관리자 페이지에서 나타난 것으로 파악됐다. 해당 학교의 홈페이지 관리자 페이지는 로그인 창에 특수한 문자열을 입력해 관리자 계정으로 쉽게 접속이 가능했던 것으로 확인됐다. 취약점에 노출된 학교는 해당 관리자 페이지를 이용하고 있는 △24개 초등학교와 △13개 중학교, △9개 고등학교, △1개 특수학교 등 총 47개 학교로 파악되고 있다.
 

▲안산의 한 중학교 홈페이지의 관리자 페이지. 학생들 정보를 열람하고 수정할 수 있다. ⓒ보안뉴스

안산지원교육청은 각 학교들의 홈페이지 제작의 편의를 돕기 위해 학교 홈페이지 제작 전문업체인 E사의 홈페이지 관리시스템을 이용하고 있었다. 그러나 해당 관리자 시스템은 기본적인 해킹 공격인 SQL인젝션 취약점을 가지고 있었던 것. 

보안뉴스에서 해당 학교들의 취약점을 지적하자 안산교육지원청의 한 담당자는 “해당 취약점을 확인하고 점검해 서둘러 수정 조치하겠다”고 밝혔다.

더불어 문제가 된 안산교육지원청은 SQL인젝션과 같은 기본적인 보안 취약점에 대응할 수 있는 웹방화벽 조차 설치되지 않았던 것으로 확인됐다. 이에 대해 교육지원청의 담당자는 “올해 상반기 내에 웹방화벽을 설치할 계획이었기 때문에 방화벽이 설치되고 나면 이런 취약점에 대해 신속하게 대응할 수 있을 것”이라고 밝혔다.

보안업계의 한 전문가는 “우리나라의 많은 학교들이 홈페이지 구축의 편의를 위해 전문업체에 위탁하고 있지만 대부분 구축단가가 낮아 박리다매로 제작하다보니 홈페이지가 허술하게 구축된 사례가 종종 나타나고 있다”면서 “학교 홈페이지들은 학생 정보와 학부모 정보 및 학교의 주요 정보가 저장돼 있어 관련 교육지원청들은 지속적으로 관심을 가지고 보안 점검을 해야 할 것”이라고 당부했다.
[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>