|
국민카드와 농협·롯데카드 등의 개인정보 유출 사건으로 금융권이 보안을 강화하겠다고 강조하고 있지만 금융회사의 허술한 보안의식은 여전한 것으로 나타났다.
26일 대학가에 따르면 학번과 이름만으로 다른 학생들의 등록금 납부 여부와 장학금 수령 여부 등을 조회할 수 있는 것으로 드러났다. 실제로 우리은행과 국민은행 등 대학 등록금 납부 조회서비스를 제공하는 은행들의 홈페이지에서 학번과 이름을 이용해 등록금 납부 여부를 손쉽게 조회할 수 있었다.
우리은행의 경우 대학명과 학번만 입력하면 해당 학생의 등록금 납부 여부와 납부일자, 장학금 수령액, 학생회비 납부 여부 등을 바로 알 수 있었다. 서울경제신문 취재진이 우리은행 홈페이지에서 서울의 한 사립대학을 지정한 뒤 임의로 한 학번을 입력하자 재학생 A씨가 수업료 340만6,000원 중 장학금 205만2,500원을 제외한 135만3,500원을 지난 25일 냈으며 학생회비와 교지비 등 기타수납금 1만원을 내지 않았다는 사실을 바로 확인할 수 있었다. 심지어 이 확인증을 인쇄하는 것도 가능했다. 국민은행의 경우 대학명과 학번·이름만으로 조회할 수 있었다. 취재진이 국민은행 홈페이지에서 충남의 한 대학을 지정한 뒤 한 학생의 학번과 이름을 입력하자 B씨가 장학금을 받지 못했으며 등록금 총 425만원을 아직 내지 않았다는 것을 확인할 수 있었다.
우리은행을 이용하는 일부 대학의 경우 납부 여부 조회시 해당 학생 앞으로 지정된 가상 계좌번호 등을 함께 입력하도록 해 본인만 조회할 수 있도록 했지만 이는 소수에 불과했다.
대학생 김모(21)씨는 "학교 홈페이지에서 다른 사람의 학번을 쉽게 알 수 있는데 학번만으로 등록금 납부 여부와 장학금 수령액 등을 확인할 수 있다니 어이가 없다"며 "최근 카드사의 개인정보 유출로 논란이 됐으면서도 이런 행태가 고쳐지지 않고 있는 사실에 놀랐다"고 황당해했다. 또 다른 대학생도 "주민번호 뒷자리 등 입력항목을 하나만 추가했어도 아무나 조회하는 것을 막을 수 있을 텐데 은행과 학교가 안이한 것 같다"고 비판했다.
보안전문가인 윤광택 시만텍코리아 이사는 "사용자 인증에 대한 부분을 쉽게 구성한 취약한 인증"이라며 "보안 인증에는 아이디와 비밀번호로 인증을 하는 원 팩터 인증과 은행의 보안카드 입력과 같이 추가 인증을 요구하는 투 팩터 인증이 있는데 지금은 이 두 가지가 제대로 안 된 것"이라고 지적했다. 윤 이사는 "조회되는 내용에 학적이나 주민등록번호 등 아주 민감한 정보가 포함되지는 않았더라도 정보의 민감성이라는 것은 개인에 따라 경중이 다르다"며 "보안을 강화할 필요가 있는 것이 사실"이라고 강조했다.