세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
3연속 정보 노출, 스탠포드대학 망신살 뻗쳐
  |  입력 : 2017-12-04 14:53
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
경영대학원 서버, 캠퍼스 간 AFS 플랫폼에서 민감한 정보 유출
대학교들 사이 정보보안 무시되고 있는 현상 심각한 수준


[보안뉴스 문가용 기자] 미국의 스탠포드대학 경영대학원에서 서버를 잘못 설정하는 바람에 1만 명의 교직원 및 학생들의 이름, 생년월일, 연봉(교직원), 사회보장번호가 장기간 노출되는 일이 뒤늦게 밝혀졌다. 노출된 데이터는 2008~2015년 사이에 경영대학원에 등록 및 저장된 정보들이며, 2017년 3월 3일 학교 측에서 조치를 취하기 전까지 약 6개월 간 방치되어 있었다고 한다.

[이미지 = iclickart]


대학 측에 의하면 2016년 6월부터 민감한 정보가 저장되어 있는 파일들이 실수로 공유 서버로 넘어갔고, 같은 서버에 있던 다른 파일들마저 노출되기 시작한 건 2016년 9월부터다. 경영대학원의 IT팀이 이 같은 사실을 알아챈 건 2017년 2월이지만 학장에게 보고하지는 않았다고 한다. 대변인에 의하면 당시 IT 팀도 얼마나 많은 파일들이 노출되어 있는지 전부 파악한 건 아니라고 한다.

이와 별개로 스탠포드대학의 각 캠퍼스를 이어주는 파일 공유 플랫폼인 AFS에서도 민감한 정보가 유출되고 있다는 사실이 드러나기도 했다. 특히 2005~2012년 사이 학생들의 개인정보 및 징계와 관련된 기록들이 대량으로 공개되어 있었다. 이 사실을 학교 측에서 파악한 건 11월 9일의 일이다.

이게 끝이 아니다. 올해 초 스탠포드 경영대학원은 민감한 재정 관련 정보들이 유출됐다고 상부에 보고한 적도 있다. 당시도 중요 파일들이 공유된 서버에 올라가 있는 상태였고, 해당 파일은 2016년 6월부터 그렇게 공개된 채 방치되어 있었다. 이 역시 3월에 정정됐다. 세 건 모두 단순 서버 및 공유 옵션의 설정 오류로 인한 것들이었다.

꽤나 명망 높은 대학에서 길지 않은 시간에 서버 설정 오류 및 공유 오류로 인해 민감한 정보가 세 번이나 연달아 유출됐다는 것에 보안 커뮤니티와 프라이버시 단체들이 많은 비판을 쏟아내고 있다. 인피니트글로벌(Infinite Global)의 회장인 자크 올센(Zach Olsen)은 “스탠포드 대학에서 일어났던 일이 지금 이 시간에서도 수많은 기관과 단체에서 벌어지고 있다”며 “인간적인 실수나 절차상 오류라고 그냥 넘어가서는 안 된다”고 말한다.

“너무 사소한 실수들이 ‘당연하게’ 일어나고 있고, 그걸 또 ‘아무렇지 않게’ 용서하고 있지만, 그 틈으로 치명적인 피해들이 발생합니다. 허허 웃고 넘어갈 게 아니라, 시말서 몇 장 쓰고 말 게 아니라 좀 더 확실한 대응을 해야 합니다. 또한 실수를 막을 수 있는 시스템적인 대책도 강구되어야 하고요. 해커의 공격은커녕 우리 스스로 내주는 정보들이 너무 많아요.”

올센은 특히 대학 기관들이 이러한 보안 상의 절차를 많이 무시하는 경향이 있다고 말한다. “정보와 자료 그 자체를 만들어내고 유통하는 게 대학 아닌가요. 그렇다면 그 자산과 같은 정보와 자료를 보호할 방법을 만들어야 하겠지요. 정보를 함부로 대하는 기관에서 지식과 정보를 생성한다면 누가 신뢰할 수 있겠습니까?”

또한 올센은 직원들을 대상으로 한 보안 교육 및 훈련이 제일 중요하다고 말한다. IT와 관련된 직원들이나 서버실 관리자들뿐만 아니라 인터넷이나 내부 인트라넷을 업무에 사용하는 모든 사람들이 그 대상이 되어야 한다. “캠퍼스 내에서 중요한 공유 플랫폼을 같이 사용하는 학생들에게도 공유 관련 정책을 분명히 전달하고 교육의 기회를 제공해야 합니다. 악랄하고 천재적인 해커들이 아니라, 우리 자신이 우리 뒤통수를 때리는 일이 더 많다는 것도 알려야 하고요.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
WD 파워비즈 2017-0305 시작
설문조사
7월은 정보보호의 달, 7월 둘째 주 수요일은 정보보호의 날로 지정된 상태입니다. 정보보호의 달과 날짜가 특정되지 않은 ‘정보보호의 날’의 변경 필요성에 대해서는 어떤 견해를 갖고 계신지요?
정보보호의 날(달) 모두 현행 유지
정보보호의 달은 현행대로, 정보보호의 날은 7월 7일로
1.25 인터넷대란, 카드사 사태 발생한 1월, 정보보호의 달(날)로
매월 매일이 정보보호의 달(날), 기념일 폐지해야
기타(댓글로)