우리나라에서 전국 초중고등학교, 17개 시도교육청, 교육부가 사용하고 있는 교육행정보시스템(나이스, NEIS)은 수 많은 학생들의 개인정보를 다루고 있는 만큼 전자정부에 버금가는 기본적인 보안조치가 이뤄지고 있다.
그러나 교사, 교직원들을 포함한 내부자를 통한 유출에 대응할만한 충분한 조치나 추가적인 검토가 필요한 것으로 나타났다.
31일 한국프레스센터에서 학생 프라이버시 보호 범국민연합이 주최한 '학생 프라이버시 진단과 대안' 세미나에서는 이 같은 의견이 제시됐다.
교직원들은 나이스를 통해 생활기록부, 학적, 성적처리 등을 조회하고, 또 여기에는 교직원들에 대한 인사처리, 민원 등과 함께 학생들이 수업시간에 필요한 준비물, 급식정보, 학생에 대한 생활태도 등 정보가 기록되고 관리된다.
나이스를 총괄하고 있는 교육부 교육정보화과 정병호 과장은 최장 5년까지만 시스템 내에 정보가 기록되고 이후에는 문서보관체계를 통해 관리되고 있다며 저 조차도 학교 관련 실무를 담당하지 않아 나이스 아이디가 없을 정도로 권한이 있는 교사, 시도 교육청 직원, 연구관 및 장학사들에게만 조회 권한이 있다고 설명했다.
교육부에 따르면 주로 분산서비스거부(DDoS) 공격, 내부 시스템을 파악하기 위한 스캔, 주요 시스템을 망가뜨릴 수 있는 웜 등이 발견됐다. 이같은 수치는 지난해 9만9천487건 해킹시도가 있었으나 올해에는 1만9천311건으로 대폭 줄었다. 나이스는 해킹시도에 대해 DB보안, 서버보안, 통합보안관리, 클라이언트보안 등 기본적인 보안체계를 갖추고 관리하고 있다. 때문에 해킹을 통한 대형 개인정보유출 사건이 벌어질 가능성은 낮은 편이다.
이와 관련 정 과장은 다른 개인정보유출사고처럼 나이스의 경우에도 기술적인 해킹 보다는 사람을 통한 유출에 대비할 필요가 있다고 밝혔다.
현재 나이스는 교사들이 학생 정보를 조회할 경우 학급별로 로그를 남기도록 하고 있다. 학생 개개인을 대상으로 로그를 남기고, 동의를 받으려면 담임교사 입장에서는 학생들 관리자체가 어려워진다는 의견 때문이다. 대신 졸업생들에 대해서는 개인별로 조회한 내역이 모두 로그로 남는다.
이와 관련 패널토의에 참석한 경찰청 사이버안전국 사이버안전과 최준영 경정은 경찰의 경우 나이스와 유사한 형사사법정보시스템(KICS)을 2010년부터 구축해 운영하고 있는데 권한 없는 담당자가 접속했을 경우 형사처벌될 정도로 엄격하게 관리되고 있다며 나이스도 다른 기관 시스템을 참고해서 더 믿음을 줄 수 있는 기술적 체계를 갖출 필요가 있다고 주장했다.
담임도 학급 내 학생들 개개인의 정보에 대해 조회했다는 기록을 모두 남길 수 있도록 할 필요가 있다는 설명이다.
물론 범죄자에 대한 정보를 조회하는 KICS와 나이스를 동일선상에서 비교하기는 어렵다. 다만 KICS가 더 세밀하게 흔적(로그)을 남기고 있다는 점은 참고할만한 사항이다. 최 경정은 담당 수사과 과장이면 과 밑에 수사관들이 취급하는 사건들에 대한 내역을 볼 수 있지만 대신 조회할 때마다 로그가 남는다며 대신 타 과 사건에 대해서는 시스템 상 승인을 받지 않고서는 옆 부서 사건을 볼 수 없다고 말했다.
관련기사
- 4년간 개인정보유출 1억6백만건…‘국민1명당 2.1회’2014.11.01
- 교육기관 개인정보 무방비 노출 3년간 3만건2014.11.01
- 인터넷 이용자 83%, 약관 읽지 않고 ‘동의’2014.11.01
- 애플·구글, 프라이버시 침해 예방 강화2014.11.01
현업에서 초등학교 학생들을 가르치고 있는 한산초등학교 심재민 교사는 학교에서 학생들에 대한 개인정보를 취급할 때마다 관련 목록을 만들어 개인정보보호종합지원 포털에 올려야 하며, 교사들의 PC에 개인정보가 담긴 파일이 있으면 삭제하라는 알람이 계속 뜨고, 교육청에서도 이러한 내용들을 파악하고 있다고 말했다. 생각보다 철저하게 관리되고 있다는 설명이다.
그는 개인정보보호에 대한 교육을 하려고 해도 마땅한 자료를 찾기가 어려워 교육청이나 개인정보 관련된 곳에서 학생들과 교사, 교직원 등을 위한 교육자료를 많이 개발해 줬으면 한다고 덧붙였다.
