A사립대는 지난달 말 학생들에게 ″수강신청을 방해할 목적으로 타학생 계정을 잠기게 하는 공격자를 추적하고 있다″고 공지했다. 비밀번회 5회 이상 틀렸다는 이유로 학생 수십명이 로그인에 제한을 받았기 때문이다. 커뮤니티 캡처

“수강신청을 방해할 목적으로 타 학생 계정을 잠기게 하는 공격자를 추적하고 있다. 업무방해에 따른 형사고발조치 예정이다”

지방 소재 A사립대는 지난 8월 학생들에게 이런 내용의 단체 문자를 보내며 “자수하라”고 했다. 2학기 수강신청 때 다른 사람의 계정을 입력하고 비밀번호를 일부러 5회 이상 틀리게 해 20분 동안 로그인을 제한한 일이 다수 발생하면서다. A사립대 관계자는 “해당 문자를 학생들에게 보낸 건 사실”이라며 “진행 중인 사안이라 자세한 내용은 밝힐 수 없다”고 말했다.

수도권 내 B대학 관계자도 “수강신청 시기에 로그인 제한이 됐다는 신고가 5~6건 들어왔다”며 “다른 사람의 수강신청을 방해하거나 장난의 목적으로 비밀번호를 고의로 틀리게 한 것 같다”고 말했다.

이처럼 대학가에선 고의로 비밀번호를 5회 이상 틀려 학생 계정 로그인을 제한하는 경우가 종종 발생한다고 한다. 대학생 계정의 아이디가 보통 학번이라는 점을 악용한 것이다. 예를 들어 학번이 24××라면 아이디에 학번을 입력하고, 비밀번호를 1234 등 무작위로 입력해 로그인이 제한되게끔 하는 것이다. 인기가 많은 강의의 수강신청 ‘경쟁자’를 견제하려는 목적으로 보인다.

아이디가 학번이 아니더라도 다른 사람의 개인정보를 이용하면 아이디를 쉽게 찾을 수 있다. 각 대학 홈페이지를 살펴보니 이름과 학번 또는 생년월일을 알고 있으면 아이디를 바로 조회할 수 있었다. 소셜네트워크서비스(SNS) 등으로 생년월일 등의 개인정보를 찾을 수 있다면 특정인물의 학교 계정 아이디를 쉽게 찾을 수 있는 셈이다. 메일이나 휴대전화 메시지 등 본인만이 확인할 수 있는 비밀번호와는 다르다.

학교 교사들은 고교학점제 수강신청 프로그램에서 이메일 형식의 아이디 등 학생 정보를 등록해야 한다. 편의상 아이디를 '학번+이메일 형식'으로 부여하는 경우가 많다고 한다. 고교학점제 수강신청 프로그램 캡처

대학뿐만 아니라 ‘고교학점제’ 도입을 앞둔 고등학교에서도 유사한 문제가 발생할 수 있다는 우려가 나온다. 고교 수강 신청을 위해선 각 학교 교사들이 관련 프로그램에 메일 형식의 아이디와 휴대전화 번호 등의 학생 정보를 등록해야 한다. 이때 편의상 학생 아이디를 ‘학번+메일 주소 형식’으로 부여하는 경우가 많다고 한다.

고교학점제를 시범 운영하는 수도권의 한 고교 교사는 “교사가 직접 입력하는 시스템이다 보니 빠른 업무 처리를 위해서 학번으로 아이디를 만드는 경우가 있다”고 말했다. 지난 2022년 한 지방교육청은 ‘22(학년도)+(학번)xxxxxxxxx(메일 주소)’로 아이디를 설정하라고 권고하기도 했다. 아이디는 한 번 생성되면 수정할 수 없다.

고3 박모(18)군은 “학교에서 방과후 수업 신청을 온라인 홈페이지로 받았는데 반 친구 다수가 로그인에 제한됐다”며 “알고 보니 어떤 친구가 다른 학생들의 아이디로 비밀번호를 틀리게 입력한 장난을 친 것이었다”고 말했다.

이런 행위는 형사처벌 대상이 될 가능성이 있다. 황석진 동국대 국제정보보호대학원 교수는 “고의로 다른 사람의 로그인 접속을 제한·방해했다면 학교의 정당한 수강신청 업무를 방해했다는 혐의로 처벌을 받을 수 있다”라며 “편의가 아닌 보안을 위해 개개인이 고유의 아이디를 생성할 수 있도록 해야 하며 비밀번호 찾기와 같은 수준의 보안이 갖춰져야 한다”고 말했다.