▲ [시사주간=사회팀]

서울대학교 포털사이트 '마이스누'의 보안이 허술한 것으로 드러나 서울대 전교생과 교직원의 개인정보 유출이 우려된다.

'서울대 천재 해커'로 알려진 이두희(31)씨는 28일 오후 자신의 페이스북에 "열흘째 학교 서버를 이리저리 보고 있는데 정말 놀라운 문제가 있다"는 글을 올렸다.

이씨는 뉴시스와의 통화에서 "서울대 모든 학생과 교직원의 포털 모바일 페이지 아이디와 비밀번호가 유출될 수 있는 문제를 발견했다"며 "유출된 정보로 포털에 로그인하면 개인 주민등록번호와 성적, 주소부터 시작해 교수들 연봉까지 알 수 있다"고 설명했다.

이씨는 "서울대에서 터질 수 있는 최고의 보안 사고라고 생각한다"며 "교수 아이디와 비밀번호를 구해 포털에 로그인하면 학생의 성적까지도 입력할 수 있는 상황"이라고 강조했다.

그는 "이미 정보가 유출됐을 가능성도 높다"며 "학교 중앙전산원에 이를 알렸고, 고치겠다는 답변을 받았다"고 덧붙였다.

하지만 이씨가 학교 서버 문제점을 발견한 적은 이번이 처음이 아니다. 이씨는 지난 2012월 3월1일 학교에서 많이 쓰는 서버 '플라자'의 허술한 보안 관리로 최고관리자에 가까운 권한을 손쉽게 구할 수 있었다. 이씨는 이를 발견하고 서울대 중앙전산원에 바로 연락하기도 했다.

나흘이 지나도록 학교 측은 아무런 대응이 없었고, 여러 부서로 전화를 돌리다가 겨우 '해당 문제를 고치고 있다'는 답변만 받았다.

11일 뒤 이씨가 다시 확인해봤지만 달라진 것은 없었다. 여전히 최고관리자 권한을 쉽게 가져갈 수 있었고, 학교 공식 홈페이지에 '타조가 춤 추는 사진'을 올릴 수도 있는 상황이었다.

심각한 문제임에도 학교가 느리게 대응하는 데 참다 못한 이씨는 다음날 해당 서버 데이터베이스 시스템에 접속해 한 관리자의 계정을 알아냈다. 이를 전산원에 메일로 보내며 다시 문제를 제기했다.

관리자로 로그인 하면 학생의 주민번호와 학점, 주소, 군 제대 여부 등 거의 모든 개인정보를 좌지우지 할 수 있는 권한을 갖게 된다.

이씨는 "이렇게 한바탕 난리를 치고 나서야 학교에서는 서버를 3월28일 최종적으로 고쳤다"며 "문제를 발견하고 제보한 학생에게는 귀찮다는 듯한 답변만 돌아왔다"고 밝혔다.

앞서 2006년에는 서울대 전산보안망이 취약하다는 사실을 알리기 위해 서울대 전산 시스템을 직접 해킹한 뒤 이를 언론에 알리기도 했다. 이 때 서울대 출신 배우 김태희씨의 입학서류 증명사진이 처음 공개되는 해프닝도 벌어졌다.

이에 대해 서울대 중앙전산원 관계자는 "새로운 서비스를 시작하기 전에 최대한의 기술력으로 보안 점검을 하는데도 발생하는 버그가 있다"며 "최대한 빨리 해결하려고 노력하고 있다"고 해명했다.

한편 이씨는 서울대 컴퓨터공학과 2003학번 출신으로 서울대 학생이 사용하는 자체 교수(강의)평가 사이트 '스누이브'를 개발했다. 프로그래밍 동아리 '멋쟁이 사자처럼'을 만들어 서울대 학생을 중심으로 전공에 관계없이 프로그래밍을 가르치고 있다.

이씨는 올해 2월 tvN 프로그램 '더 지니어스 2'에 출연해 유명세를 탔다. 당시 함께 출연한 전 프로게이머 홍진호가 '일베(일간베스트) 논란'에 휩싸이자 '일베용어사전'을 개발해 관심을 끌기도 했다.  SW