개인정보보호, 소프트웨어 정책
충청권 대학 뒷문 열린 개인정보
– 중요 서비스만 보안조치 –
□ 지난해 수도권 대학들의 개인정보에 대한 보안 실태조사 결과 절반의 대학들이 개인정보보호를 미 준수한 것을 나타났음에도 금번 충청권 4년제 대학 40곳의 약 450개 서비스를 실태조사 결과 60%의 대학이 미 준수하고 있는 것으로 나타나 대학의 개인정보보호 의식의 성숙도가 미흡한 것으로 조사되었다.
□ 각 대학들이 주요 서비스에 대하여 보안조치를 하고 있었으나 중요도가 낮다고 판단한 서비스는 보안조치를 하지 않고 운영하고 있었으며, 특히 국내 최고의 대학인 KAIST는 학과 사이트 등 14개의 사이트가 개인정보에 대한 안전성확보조치 없이 운영되고 있었다.
□ 또한 상명대는 이용자 접속화면은 보안조치를 하였으나 일부 서비스는 시스템을 관리하는 관리자접속화면을 보안조치 없이 운영하고 있었다.
□ 이는 각 대학들이 학내 서비스에 대한 전체적인 보안점검 없이 주요사이트만 보안조치를 한 것으로 보이며, 이로 인하여 이용자가 여러 서비스를 같은 접속정보(아이디, 비밀번호)를 이용하는 경향에 의하여 최근 우리은행의 개인정보 유출사건과 같이 크리덴셜 스터핑(Credential Stuffing)공격에 의하여 보안조치를 한 시스템의 민감정보도 유출될 가능성이 있다.
○ 크리덴셜 스터핑 (Credential Stuffing) : 로그인 정보 등 개인 신상과 관련해 암호화한 정보를 폭넓게 아울러 ‘크리덴셜(credential)’이라고 한다. 크리덴셜은 사용자가 본인을 증명하는 수단으로서의 의미를 갖는데, ‘크리덴셜 스터핑’ 공격이란 공격자가 이미 확보한 크리덴셜을 다른 계정들에 마구 쑤셔 넣는(stuffing) 방식으로 사용자 정보를 침해하고 공격하는 것을 가리킨다.
□ 대학들이 앞문은 철통같이 지키고 있으나 뒷문은 열어놓고 다니는 격으로 보안에는 크고 작음이 없음을 깨달아야 할 것이다.
-끝-
□ 붙임
1. 충청권 대학 개인정보 안전성확보조치 실태조사
붙임자료