'자가진단 앱'에 해킹 공격 잇따라

김남영 기자

입력2021.07.19 17:59 수정2021.07.20 00:33 지면A29

개인정보 탈취 시도 3건 더 확인
교육부 "보안 강화 방안 찾겠다"

초·중·고교 학생들의 건강상태를 확인하기 위해 쓰이는 교육부 ‘건강상태 자가진단 앱’에서 사용자 정보를 탈취하려는 시도가 잇따른 것으로 확인됐다. 교육부는 일부 학생이 자가진단 앱에 매크로(자동화 프로그램)를 활용하는 것에 대해서는 “개선 방안을 찾겠다”고 했다.

교육부는 19일 온라인 정례 백브리핑에서 “지난 14일 자가진단 앱에 무단 접근한 IP(인터넷주소) 다섯 개 외에 추가로 세 개를 확인해 차단했다”고 밝혔다. 앞서 14일 새벽 학생 건강 자가진단 앱에서 수차례 알람이 울리는 오류가 발생했다.

교육부 조사 결과 앱 푸시알림 권한에 누군가 무단으로 접근해 무작위로 알람을 보낸 것으로 파악됐다. 사건이 일어난 뒤에도 사용자 비밀번호 등 정보를 탈취하려는 시도가 여러 차례 있었다.

교육부는 “비밀번호를 다섯 번 틀리면 5분 뒤 재시도할 수 있도록 한 설정을 세 번 틀리면 1시간 뒤에 재시도할 수 있도록 해 보안을 강화했다”고 설명했다. 인증 방식에 대해서도 조만간 개선을 완료할 계획이다. 경찰 수사 의뢰 등의 후속 조치는 고려하지 않고 있다.

교육부는 일부 학생이 매크로를 활용해 자가진단 앱 설문 문항에 자동으로 응답하는 것과 관련해서도 개선 방안을 검토하기로 했다. 교육부 관계자는 “캡차(CAPTCHA: 사람과 로봇을 구별하기 위한 인증 기술) 등을 도입할 수도 있지만, 앱 사용 과정에서 불편함이 커져 고민하고 있다”고 말했다.

한편 전면 원격수업으로 전환된 수도권의 초등 돌봄 참여 학생 수가 크게 증가한 것으로 나타났다. 교육부에 따르면 지난 14~15일 오전 원격수업에 참여한 학생이 9만6897명, 오후 돌봄교실에 참여한 학생이 6만8396명인 것으로 집계됐다. 이는 처음 전면 원격수업이 시행됐던 지난해 9월(오전 5만6464명, 오후 3만8173명)과 2차 전면 원격수업이었던 지난해 12월(오전 6만90명, 오후 5만5648명)보다 늘어난 것이다.

김남영 기자 nykim@hankyung.com

관련 뉴스

1

교육부 자가진단앱에서 새벽 알림 잇따라…외부 공격 추정

교육부의 애플리케이션인 '건강상태 자가진단'에서 14일 새벽 마구 알림음이 울린 사건 이후, 교육부의 조사 결과 원인은 외부 공격 때문이었던 것으로 확인됐다. 지난 14일 등교 시간보다 이른 시간, 의심 증상을 체크하는 자가진단 어플에서 원인불명의 알림이 연속적으로 발송됐다.이 알림 내용은 '자가진단 보안이 너무 허술합니다', '자가진단 드가자', '여러분 자가진단 하세요!! 확진자 늘고있는거 보이잖아요?' 등이었다. 교육부 관계자는 19일 열린 출입기자단 백브리핑에서 이 사건과 관련해 "앱 사용자에 대한 기본 정보는 학교 홈페이지나 다른 사이트에서 수집하고 앱에 여러 비밀번호를 넣으면서 공격한 것"이라고 밝혔다.교육부 확인 결과 5개 IP(인터넷 주소)에서 자가진단을 앱을 공격하는 움직임이 있었고 이 과정에서 사용자 인증값 10여 개가 사용된 것으로 나타났다.이후에도 3개 IP에서 비슷한 공격이 들어와 해당 IP를 전부 차단해놓은 상태다.교육부 관계자는 "비밀번호를 5회 틀리면 5분 이내에 다시 시도할 수 있었던 것을 3회 실패하면 60분 이후에 할 수 있도록 설정했고 비밀번호 공격 IP를 계속 차단하고 있다"고 설명했다.이어 "별도의 암호화 과정을 거쳐 보안 체계를 강화했으며 사용자 인증값이 탈취된 상태라면 그 부분도 무력화하기 위해 개선할 예정"이라며 "아침 등교 전 짧은 시간에 자가진단 할 수 있는 편의성이 없어지는 불편을 최소화하면서 매크로 등을 차단하는 방법을 찾고 있다"고 덧붙였다.이 관계자는 사건을 수사기관에 넘겨 수사 의뢰할 계획에 대해서는 "현재까지는 문제 상황에 대응하는데 집중하고 후속 조치는 추가로 고민해봐야 한다"고 말했다.김주미 키즈맘 기자 mikim@kizmom.com
2

"자가진단 귀찮아"…매크로 돌리는 학생들

중학생 A군은 1학기 내내 매일 아침 교육부 ‘건강상태 자가진단 앱’(자가진단 앱)으로 건강상태와 진단검사 여부를 입력했다. 귀찮지만 제때 입력하지 않으면 벌점을 받을 수 있기 때문이다. 그러던 와중에 친구한테 한 번만 입력하면 매일 자동으로 자가진단을 해주는 매크로(자동화 프로그램)가 있다는 것을 알게 됐다.초·중·고교 모든 학교가 원격수업을 하는 가운데 학생의 건강 상태를 확인하기 위해 쓰이는 자가진단 앱에 매크로가 쓰이는 사례가 잇따르고 있다. 교육부에서 지난해 9월 내놓은 자가진단 앱은 유치원 및 초·중·고교 학생들이 이용하고 있다. 방역 관리를 위해 학생들은 이 앱에서 체온, 기침·오한·근육통 등 코로나19 의심 증상, 진단검사 여부 등을 기록해야 한다. 전문가들은 매크로를 사용하다가 개인정보가 유출될 수 있다고 경고했다. 앱마켓에서 손쉽게 설치18일 한국경제신문 취재를 종합하면 포털사이트 카페, 블로그, 깃허브(코드 공유 사이트) 등 커뮤니티는 물론 스마트폰 앱마켓에서도 자가진단 앱에 사용되는 매크로가 올라와 있는 것으로 확인됐다.주로 학생, 개인 개발자들이 제작한 매크로는 한 번만 입력하면 사용자가 매일 입력할 필요 없이 프로그램이 알아서 자동으로 자가진단 내역을 보낸다고 홍보한다. 매일 아침 등교 전 가정에서 건강상태를 살피고 코로나19 증상이 있는지 점검하라는 취지가 무력해진 것이다.매크로를 사용하면 개인정보가 유출될 우려가 크다. 이런 프로그램을 쓰기 위해서는 학생의 이름·학교·생년월일·핀코드(비밀번호) 등을 입력해야 한다. 이 때문에 개인정보가 앱·프로그램 개발자에게 넘어갈 수 있다는 지적이다. 개인정보보호법 전문가인 김보라미 변호사는 “개인의 동의를 받는 절차도 없기에 위법 가능성이 크다”며 “특히 초등학생으로 볼 수 있는 만 14세 미만 미성년자의 개인정보는 법정 대리인의 동의도 받아야 한다”고 설명했다.교육계 매크로 이슈는 이번이 처음이 아니다. 지난해에는 포털 사이트, 온라인 커뮤니티 등을 통해 강의 수강을 하지 않아도 자동으로 출석하는 방법이 확산됐다. 매크로 등을 활용해 학생들은 강의 재생 속도를 두 배 이상으로 올리거나, 코드를 짜서 강의를 아예 듣지 않고 수강하는 등의 ‘꼼수’를 썼다. 앱 만든 기관은 ‘A등급’자가진단 앱을 제작한 한국교육학술정보원(KERIS)은 지난달 기획재정부 주관의 ‘2020년도 공공기관 경영실적 평가’에서 최고등급인 A등급을 받았다. 당시 KERIS는 “학교 내 코로나19 확산 방지를 위해 건강상태 자가진단 시스템을 선제적으로 구축·운영하는 등 철저한 학교 방역 안전망 조성을 위해 노력했다”고 자평했다.그러나 정보기술(IT)업계에서는 자가진단 앱의 보안이 허술하다는 비판이 나왔다. 지난 14일 새벽에는 자가진단 앱에서 여러 차례 알람이 울리는 오류가 전국에서 발생하기도 했다. 업계 관계자는 “봇이나 매크로를 차단할 수 있게 최소한 보안 문자와 같은 기본적인 보안 기능을 넣어야 했다”고 말했다. 교육부 관계자는 “매크로의 존재는 들어봤지만, 원천적으로 막기에는 한계가 있다”며 “보안 기능을 구현하면 아침에 바쁜 학생들이 자가진단을 안 하게 될 것”이라고 해명했다.자가진단 앱이 효과가 없다는 의견도 나온다. 한 고교 교사는 “매크로를 쓰는 것으로 의심되는 학생들이 있지만 일일이 확인해서 지적하기도 어렵다”며 “앱이 학교 방역에 진정 효과가 있을지 모르겠다”고 했다.김남영 기자 nykim@hankyung.com
3

부실펀드 투자한 사립대 7곳, 이사회 의결 안거쳐 기관경고

교육부는 이사회 심의·의결을 거치지 않고 ‘부실펀드’에 투자한 7개 사립대에 최근 기관경고 처분을 통보했다고 18일 발표했다.경고 처분을 받은 사립대는 건국대, 고려대, 대구가톨릭대, 성균관대, 연세대, 우석대, 한남대 등이다. 이들은 금융감독원이 발표한 ‘위험펀드’에 적립금 등을 투자하는 과정에서 이사회 의결을 거치지 않았다. 건국대는 옵티머스자산운용 사모펀드에 120억원을 투자했다. 성균관대(36억원)와 한남대(21억원), 대구가톨릭대(5억원)도 이 운용사 펀드에 돈을 넣었다.김남영 기자 nykim@hankyung.com