100만 학생 정보가 클릭 한 번에 노출됐다

클릭 한 번으로 남의 아이 정보를 볼 수 있었다

미국의 100만 명 학생이 사용하는 입학 플랫폼에서 충격적인 보안 허점이 발견됐다. 라벤나 허브(Ravenna Hub)라는 사이트에서 로그인한 사용자라면 누구나 다른 학생의 개인정보를 마음대로 열람할 수 있었던 것이다.

노출된 정보는 단순하지 않다. 아이들의 이름, 생년월일, 주소, 사진은 물론이고 재학 중인 학교 정보까지 고스란히 드러났다. 부모의 이메일과 전화번호, 심지어 형제자매 정보까지 포함됐다.

VentureEd Solutions가 운영하는 이 플랫폼은 수천 개 학교에서 사용되며, 연간 수십만 건의 입학 지원서를 처리한다고 밝혔다.

보안 전문가도 놀란 허술함

문제는 보안 허점의 단순함이었다. 웹 브라우저 주소창에서 학생 고유번호만 바꾸면 다른 학생의 프로필에 접근할 수 있었다. 이른바 'IDOR(Insecure Direct Object Reference)' 취약점이다.

더 심각한 건 학생 번호가 연속적이라는 점이다. TechCrunch가 테스트 계정을 만들어 확인한 결과, 163만 개 이상의 기록에 접근이 가능했다. 마치 호텔 방 번호를 하나씩 바꿔가며 다른 방을 들여다볼 수 있는 것과 같았다.

VentureEd의 닉 레어드 CEO는 문제를 인정하고 같은 날 수정했다고 밝혔지만, 사용자 통지나 부적절한 접근 여부 조사에 대해서는 명확한 답변을 피했다.

한국 교육 플랫폼은 안전할까?

이 사건이 한국에 던지는 시사점은 무겁다. 국내에서도 나이스(NEIS), 클래스팅, 구글 클래스룸 등 다양한 교육 플랫폼이 학생 정보를 다루고 있다.

한국의 교육열을 고려하면 상황은 더 복잡하다. 학부모들은 자녀의 성적, 생활기록부, 진로 상담 내용까지 온라인으로 관리한다. 만약 비슷한 보안 허점이 발견된다면?

개인정보보호법 위반으로 최대 3%의 매출액 과징금이 부과될 수 있지만, 정작 중요한 건 아이들의 안전이다. 학교 정보와 사진이 노출되면 납치나 스토킹 같은 물리적 위험으로 이어질 수 있다.

학부모 vs 학교 vs 업체, 누구 책임인가?

책임 소재를 둘러싼 시각은 엇갈린다.

학부모 입장에서는 "아이 정보를 맡겼는데 이런 기본적인 보안도 안 되나"라며 분노한다. 특히 한국 학부모들은 자녀 교육에 민감해 더욱 강한 반발이 예상된다.

학교 측은 "우리도 피해자"라는 입장이다. 외부 업체가 제공하는 시스템을 신뢰하고 사용했을 뿐이라는 논리다.

플랫폼 업체들은 "빠르게 수정했으니 문제없다"는 식으로 대응한다. 하지만 사전 보안 점검이나 제3자 감사 여부는 공개하지 않는 경우가 대부분이다.