취약점 제보에 대하여
작년 4월에 대전대 개인정보 유출 사건이 있었었다. 개인 정보를 query할 수 있는 URL에서 학번 바꿔 가며 crawling을 하여 그 데이터를 다크웹에 올렸던 사건. BoB 교육생이 이를 알아 내어 이슈가 되었었지.
그 기사를 보고 나서 나서 혹시나 내가 몸담고 있는 학교 사이트에서도 이러한 취약점이 있니 살펴 보았었다. 취약점들이 몇몇 보이더라. 그냥 흔하고 흔한 parameter 변조 취약점.
당시 가르치고 있는 학생들에게 다음 수업 시간에 학교 사이트의 취약점에 대해서 논해 보자고 했다. 그리고 나서 학교를 갔는데, 엇, 강의장에 내 수업을 듣지 않는 친구들까지 우루루 몰려와 있더라. 그리고 나서 각자 자기가 알고 있는 취약점들을 얘기하기 시작했는데…
학생들의 발표가 다 끝나갈 때쯤이 되어서야 왜 내 수업을 듣지 않는 학생들까지 강의장에 왔는지를 알 수 있었다. 그건 바로 자기가 알고 있는 취약점에 대해서 패치(보완)가 되어야 한다는 마인드는 있는데 막상 누구한테 어떤 방식으로 얘기를 해야 할지를 몰라 답답했었기 때문이었다. 한마디로 “임금님 귀는 당나귀 귀” 심정.
수업 마지막 시간에 얘기를 했다. 취약점들을 사이트 관리자에게 바로 얘기하지 말고 주요 보직에 계신 교수님을 통해 취약점을 전달하라고. 그리고 취약점 보고서에 “너무 허접하지 않아요?”라는 뉘앙스는 지양하고 “참 잘 되어 있는데 요런 부분에 좀 더 신경을 썼었으면 해요”라는 식으로 언급하라고.
시간이 지나 경과가 어떻게 되었는지 학생들에게 물어 보니 일이 잘 풀려서 학교 높은 분으로부터 상을 수여하는 얘기도 오갔다고 하더라(결국 수여는 안되었지만). 그리고 주기적인 취약점 점검에 대해 동아리 차원 운영비도 매달 지원받게 되었다고도 하고. 그냥 뿌듯했다. 내가 한건 그냥 학생들 얘기 들어 준 것밖에 없었는데 불구하고 말이다.
법적인 거 따지다가 소모적인 언쟁만 남는 경우를 많이 봐왔다. “취약점은 보완되어야 한다”라는 기본적인 상식이 어느 누구에게는 처리해야 할 귀찮거나 어려운 업무 중의 하나임을 이해해 줄 수 있는 아량과 너그러움을 가질 수 있다면 세상은 좀 더 아름다워(?)지지 않을까 하는 생각을 해 본다.