사이버 보안 매체인 사이버뉴스(Cybernews)의 연구팀이 명문대를 포함한 많은 대학교의 웹사이트가 패치 없이 방치되어 있고, 민감한 정보가 노출되어 있으며 권한 탈취에 무방비하게 방치되어 있다는 내용의 보고서를 발표했다.

사이버뉴스 연구팀은 매달 수백만 명이 방문하는 20개의 대학 웹사이트에서 보안 취약점을 발견했다. 트래픽 분석 사이트인 시밀러웹 기준으로 조사 대상 20개 웹사이트가 전 세계 방문자 수 1000위 안에 들어가며 모두 월 방문자 백만 명을 넘는 곳이다. 이 중 6개는 상위 100위 안에 들어가는 대학교였다.

사이버뉴스 연구팀은 “학생들이 수업을 취소시키기 위해 대학교에 접속 장애 공격(DDoS)을 하는 것은 역사적으로 매우 흔한 사례였기 때문에 대학교 웹사이트는 사이버 공격에 대해 더 철저히 방비되어 있을 것으로 예상했지만 현실은 달랐다”고 말했다.

연구팀은 가장 보안이 취약한 5개의 대학교에서 유출된 정보를 이용해 웹사이트의 권한을 완전히 장악할 수 있었다고 밝혔다. 또한 이들을 포함한 12개의 대학교에서는 유출된 자격 증명을 사용하거나 원격 코드 실행 등의 취약점 공격을 통해 학생과 교수의 개인정보를 얻을 수 있었다.

웹사이트의 관리 권한을 탈취는 노출된 환경 변수 파일(.env) 또는 원격 코드 실행(RCE) 취약점에서 비롯됐다.

특히 세 개의 대학교에서 매우 민감한 정보가 유출되었는데, 27명의 노벨상 수상자를 배출한 캘리포니아대학교 샌디에이고(UCSD)의 경우에는 데이터베이스 자격 증명, 클라우드플레어 자격 증명, 워드프레스 자격 증명, 이메일 자격 증명을 누구나 가져갈 수 있게 방치되어 있었다. 공격자는 이러한 자격 증명을 획득해 웹사이트 탈취, 악의적인 서버로의 리다이렉션, 피싱, 사용자 정보 접근 등의 행위를 할 수 있다.

이 외에도 3만 3천여 명의 재학생이 다니는 국립타이완대학 웹사이트에서도 JSON 웹 토큰 비밀, 데이터베이스 자격 증명, 사용자 이름이 포함된 깃(git) URL 등이 유출됐으며, 멕시코의 온라인 대학인 UTEL대학교에서도 JSON 웹 토큰 비밀, 구글 클라우드 비밀, 자격 증명, 다수 데이터베이스의 호스트, 깃 URL이 유출됐다.

사이버뉴스 연구원은 환경 변수 파일에 웹 응용 프로그램에서 사용하는 타사 서비스와 데이터베이스 및 API에 대한 자격 증명 등이 포함되기 때문에 외부자가 접근할 수 있게 방치해서는 안된다고 지적했다. 또한, 깃 저장소를 외부 공격자가 접근할 경우 웹사이트의 소스코드를 다운로드하고 손상시킬 수 있기 때문에 자격 증명을 재설정 해야 한다.

한편, 사이버뉴스는 이번 조사에서 취약점이 발견된 모든 대학교에 해당 내용을 전달했으며, 포틀랜드주립대와 피츠버그대학교 등 일부 학교에서는 해당 문제를 해결했다고 밝혔다.

*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.

석주원 기자 다른기사 보기