이달 13일, ‘학생 대상 메일 서비스 재개 안내’ 공지하며 비밀번호 초기화
재학생, 휴학생, 졸업생 모두 포함…‘학번1!’로 수백명 동일한 패턴으로 바꿔

[보안뉴스 김영명 기자] 숭실대(총장 장범식)는 최근 정보화팀에서 학생용 메일 서비스(Microsoft Office 365) 재개를 알리면서 비밀번호를 초기화했다고 공지했다. 하지만, 문제는 비밀번호를 ‘학번1!’로 전체 학생에게 일괄 적용해 초기화했다는데서 발생했다.

[보안뉴스 / 5.1.] 숭실대, 재학생 이메일 계정 비밀번호 같은 패턴으로 초기화... 개인정보 유출 우려

▲숭실대 로고[로고=숭실대]

지난 5월 13일 숭실대 정보화팀에서 공지한 해당 내용에 따르면, 그동안 전자메일 시스템 장애가 있었으며, 메일 서비스를 재개하면서 공지에 첨부된 안내자료에 따라 비밀번호를 변경해 사용하라고 알렸다. 이때 또한, 이 공지사항은 숭실대 홈페이지 SSU:catch 내 공지사항에 공지됐으며, 로그인 과정을 거치지 않고서도 홈페이지에 접속한 누구나 알아볼 수 있도록 전체공지가 됐다.

최근 보안뉴스에 제보된 내용에 따르면, 숭실대 교수와 교직원의 경우에는 전체 학생의 메일 주소와 학번을 확인할 수 있다고 했다. 따라서, 숭실대 교수와 교직원 가운데 단 한 명이라도 해당 이메일 계정이 해킹을 당한다면, 전체 학생의 메일 계정까지 유출되는 2차 피해가 발생할 수 있다는 우려를 표했다.

[보안뉴스 / 5.1.] 숭실대, 재학생 이메일 계정 비밀번호 같은 패턴으로 초기화... 개인정보 유출 우려

▲숭실대에서 학생 계정 비밀번호를 초기화했다는 공지사항[자료=숭실대]

특히 숭실대 계정은 2FA(Two-factor authentication, 2단계 보안인증) 기능을 사용하지 않는다. 단순히 아이디와 비밀번호만 입력하면, 스마트폰 인증이나 이메일 인증 없이도 곧바로 계정에 로그인이 가능해 해당 계정 사용자의 모든 개인정보에 접근할 수 있다는 의미다. 이와 함께 숭실대는 이메일 로그인 비밀번호를 사용하고 있는 조합 코드(일관된 비밀번호 조합 규칙)를 공지해 더 큰 논란이 일고 있는 것으로 보도되기도 했다.

이번 사건과 관련해 숭실대 관계자는 “이번 공지사항으로 개인정보 노출 우려에 대한 학생들의 우려가 빗발쳤다”며 “즉시 공지 내용을 수정했으며, 피해가 있으면 곧바로 대응하겠다”고 밝혔다.

한편, 숭실대는 최근 자료에 따르면 2021년 기준으로 재학생은 학부생 1만 3,792명, 대학원생 2,554명, 교직원은 1,380명 등 총 1만 7,726명인 것으로 알려졌다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>