윈도우10 업그레이드된 이용자 PC에서 공인인증서 모듈 오류 발생
수강신청 기간중 윈도우10 오류 수정시 암호화 풀려...현재 조치 완료
[보안뉴스 김태형] 최근 개인정보 유출에 대한 우려가 점차 커지고 있는 가운데 일부 대학이나 기업 및 공공기관 웹사이트에서 주민번호를 암호화하지 않고 보관하거나 전송해 보안에 취약하다는 문제가 지속적으로 제기되어 온 게 사실이다.
▲ 교육부 산하 국가평생교육진흥원의 학점은행 사이트 로그인 화면
이러한 때 교육부 산하기관인 국가평생교육진흥원(www.nile.or.kr)에서 운영하는 학점은행 사이트(www.cb.or.kr)에서 이용자가 공인인증서를 이용한 로그인 시 정상적인 SSL 암호화 통신을 하고 있지만, 주민등록번호 등 개인정보가 담긴 내용은 평문으로 전송하는 취약점이 있는 것으로 확인됐다.
국가평생교육진흥원에서 운영하는 학점은행 사이트는 학점은행제의 시행에 따라 개인의 학점을 관리하고 학위 취득을 할 수 있는 사이트로 누적된 학점이 일정 기준을 넘으면 학위 취득이 가능하다. 이러한 학점은행제는 ‘학점인정 등에 관한 법률(법률 제 11690호)’에 의거해 학교에서 뿐만 아니라 학교 밖에서 이루어지는 다양한 형태의 학습과 자격을 학점으로 인정하고, 학점이 누적되어 일정 기준을 충족하면 학위취득을 가능하게 함으로써 궁극적으로 열린 교육사회, 평생학습 사회를 구현하기 위한 제도다. 이러한 사이트가 보안취약점에 노출되어 개인정보가 유출될 경우 다양한 2, 3차 피해가 발생할 수 있다.
▲ 학위신청 패킷 화면
▲ 주민번호 및 ID평문 전송 패킷 화면
본지에 이를 제보한 이선우 씨는 “전역후 복학을 위해 학점은행 사이트에서 학위신청을 하는 과정에서 공인인증서를 통해 로그인을 했는데, 에러가 발생해 패킷분석 툴을 이용해서 패킷을 확인해 보니 주민번호를 암호화하지 않고 평문으로 전송하고 있는 점을 확인했다”고 밝혔다.
이어 그는 “이러한 상황에서 공격자가 마음만 먹으면 이용자들이 공인인증서로 로그인 할 때 패킷분석 툴을 이용해 개인의 주민번호 등을 탈취할 수 있다. 사이트 측은 반드시 해당 구간의 암호화 조치를 취해야 한다”고 덧붙였다.
이와 관련 국가평생교육진흥원 정보화3.0지원실 담당자는 “해당 학점은행 사이트에서 사용자 PC가 MS 윈도우10의 보안 업그레이드(kb3163018) 환경에서 회원 로그인이 불가능하다는 민원을 지난 6월 15일 접수받았다. 해당 사항을 확인한 결과, 로그인 페이지에서 공인인증서 모듈 호출이 되지 않는 문제를 확인했다”고 말했다.
이어 그는 “공인인증서 모듈 공급사에게 해당 오류에 대한 유지보수 요청을 했고, 공인인증서 모듈 제조사 측에서 ‘https(Hypertext Transfer Protocol over Secure Socket Layer)’로 전송 시 오류가 발생되며, ‘http’로 전환하면 정상 작동할 수 있다는 답변을 받았다”면서 “해당 전송구간을 ‘http’로 전환했을 때의 영향성을 검토한 결과, 학점은행 사이트에서는 학번을 개인 인식키로 사용하고 있으나, http 전환 시에는 공인인증서 인증구간에서 주민등록번호가 평문으로 전송되는 문제점을 확인했다”고 설명했다.
특히, 학점은행제 학습자 등록 및 학점인정 접수 신청기간인 6월 15일부터 7월 20일까지 이와 같은 민원이 폭주했고, 이용자 불편을 최소화하기 위해서 기존 ‘https’를 적용해 세션 데이터를 암호화하던 것을, 지난 6월 19일부터 우선적으로 ‘http’를 임시 적용했다는 얘기다.
해당 문제점과 관련해 국가평생교육진흥원 정보화3.0지원실 측은 “해당 전송구간 암호화를 위한 프로세스 수정 및 암호화 모듈 개발을 완료하고 23일부터 적용했다”며, “향후 사이트 보안 강화를 위해 외부기관을 통한 취약점 점검을 주기적으로 실시하고, 학점은행제 보유정보에 대한 최고 수준의 안전성 조치를 취함으로써 이러한 보안이슈가 다시 발생하지 않도록 노력할 것”이라고 강조했다.
[김태형 기자(boan@boannews.com)]
수강신청 기간중 윈도우10 오류 수정시 암호화 풀려...현재 조치 완료
[보안뉴스 김태형] 최근 개인정보 유출에 대한 우려가 점차 커지고 있는 가운데 일부 대학이나 기업 및 공공기관 웹사이트에서 주민번호를 암호화하지 않고 보관하거나 전송해 보안에 취약하다는 문제가 지속적으로 제기되어 온 게 사실이다.
▲ 교육부 산하 국가평생교육진흥원의 학점은행 사이트 로그인 화면
이러한 때 교육부 산하기관인 국가평생교육진흥원(www.nile.or.kr)에서 운영하는 학점은행 사이트(www.cb.or.kr)에서 이용자가 공인인증서를 이용한 로그인 시 정상적인 SSL 암호화 통신을 하고 있지만, 주민등록번호 등 개인정보가 담긴 내용은 평문으로 전송하는 취약점이 있는 것으로 확인됐다.
국가평생교육진흥원에서 운영하는 학점은행 사이트는 학점은행제의 시행에 따라 개인의 학점을 관리하고 학위 취득을 할 수 있는 사이트로 누적된 학점이 일정 기준을 넘으면 학위 취득이 가능하다. 이러한 학점은행제는 ‘학점인정 등에 관한 법률(법률 제 11690호)’에 의거해 학교에서 뿐만 아니라 학교 밖에서 이루어지는 다양한 형태의 학습과 자격을 학점으로 인정하고, 학점이 누적되어 일정 기준을 충족하면 학위취득을 가능하게 함으로써 궁극적으로 열린 교육사회, 평생학습 사회를 구현하기 위한 제도다. 이러한 사이트가 보안취약점에 노출되어 개인정보가 유출될 경우 다양한 2, 3차 피해가 발생할 수 있다.
▲ 학위신청 패킷 화면
▲ 주민번호 및 ID평문 전송 패킷 화면
본지에 이를 제보한 이선우 씨는 “전역후 복학을 위해 학점은행 사이트에서 학위신청을 하는 과정에서 공인인증서를 통해 로그인을 했는데, 에러가 발생해 패킷분석 툴을 이용해서 패킷을 확인해 보니 주민번호를 암호화하지 않고 평문으로 전송하고 있는 점을 확인했다”고 밝혔다.
이어 그는 “이러한 상황에서 공격자가 마음만 먹으면 이용자들이 공인인증서로 로그인 할 때 패킷분석 툴을 이용해 개인의 주민번호 등을 탈취할 수 있다. 사이트 측은 반드시 해당 구간의 암호화 조치를 취해야 한다”고 덧붙였다.
이와 관련 국가평생교육진흥원 정보화3.0지원실 담당자는 “해당 학점은행 사이트에서 사용자 PC가 MS 윈도우10의 보안 업그레이드(kb3163018) 환경에서 회원 로그인이 불가능하다는 민원을 지난 6월 15일 접수받았다. 해당 사항을 확인한 결과, 로그인 페이지에서 공인인증서 모듈 호출이 되지 않는 문제를 확인했다”고 말했다.
이어 그는 “공인인증서 모듈 공급사에게 해당 오류에 대한 유지보수 요청을 했고, 공인인증서 모듈 제조사 측에서 ‘https(Hypertext Transfer Protocol over Secure Socket Layer)’로 전송 시 오류가 발생되며, ‘http’로 전환하면 정상 작동할 수 있다는 답변을 받았다”면서 “해당 전송구간을 ‘http’로 전환했을 때의 영향성을 검토한 결과, 학점은행 사이트에서는 학번을 개인 인식키로 사용하고 있으나, http 전환 시에는 공인인증서 인증구간에서 주민등록번호가 평문으로 전송되는 문제점을 확인했다”고 설명했다.
특히, 학점은행제 학습자 등록 및 학점인정 접수 신청기간인 6월 15일부터 7월 20일까지 이와 같은 민원이 폭주했고, 이용자 불편을 최소화하기 위해서 기존 ‘https’를 적용해 세션 데이터를 암호화하던 것을, 지난 6월 19일부터 우선적으로 ‘http’를 임시 적용했다는 얘기다.
해당 문제점과 관련해 국가평생교육진흥원 정보화3.0지원실 측은 “해당 전송구간 암호화를 위한 프로세스 수정 및 암호화 모듈 개발을 완료하고 23일부터 적용했다”며, “향후 사이트 보안 강화를 위해 외부기관을 통한 취약점 점검을 주기적으로 실시하고, 학점은행제 보유정보에 대한 최고 수준의 안전성 조치를 취함으로써 이러한 보안이슈가 다시 발생하지 않도록 노력할 것”이라고 강조했다.
[김태형 기자(boan@boannews.com)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>
.jpg)
 TH.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
