[보안뉴스 김경애] 이달 말까지 전국 시·도 교육기관은 개인정보보호 조치를 취해야 하지만 어떤 문제점이 있고, 어떤 조치를 취해야 하는지 아직 모르는 경우가 적지 않다. 특히, 많은 교육기관들이 어떤 기준으로 각 학교 특성에 맞는 솔루션을 도입해야 하는지에 대한 고민은 더욱 깊어지고 있다.

그렇다면 교육기관들은 과연 어떤 문제점과 애로사항이 있을까? 이와 관련 나솔의 최복희 이사는 교육기관의 개인정보보호 현황 및 문제점과 이를 위한 효율적인 대응 방안을 제시했다.

먼저 최 이사는 실제 교육기관의 개인정보 현황에 대해 설명했다. A학교의 경우, 외부에서 웹 호스팅과 웹 서버를 사용하고 있는 등 집선화 돼있지 않는 문제점이 있었고, B학교의 경우 웹서버가 한곳에 모여 있었지만 개인정보보호 조치 및 입력 차단 등이 이뤄지지 않아 개인정보보호와 불건전 게시물에 대한 차단이 불가피했다는 문제점을 밝혔다.

또한, C학교의 경우 전산원에서 운영하는 대표 홈페이지와 각 학과에서 운영중인 홈페이지가 따로 있는 등 학교 내부에 흩어져 있었으며, 학과에서 운영중인 홈페이지는 정확하게 집계되지 않았다고 지적했다.

D교육기관은 내부 네트워크가 외부에서 보이지 않는 DMZ 구간에 있는 몇 개 URL에 대해서만 개인정보차단 장비를 사용하고 있었고, 입력시 문제가 되는 부분만 차단하고 있어 학교에서 일어나는 트래픽 전체에 대한 개인정보보호가 필요했다고 최 이사는 진단했다.

이와 관련 최 이사는 교육기관이 개인정보 유출 차단을 위해 고려할 사항으로 △개인정보 접근 차단 △입출력 사전차단 △웹서버 지원 및 안전성 △이상 징후 탐지 등의 사항을 제시했다.

(1)개인정보 접근 차단

개인정보 접근 차단은 웹서버나 DB서버로부터 전송되는 컨텐츠에 대해 개인정보 접근 차단이 가능해야 하고, 홈페이지 자체에서 개인정보 접근 차단이 이뤄져야 한다. 또한, PDF, 압축파일, MS OFFICE 등과 같은 첨부파일 내에 있는 개인정보도 차단되어야 한다.

(2)입출력 사전차단

입출력 사전차단은 사용자가 교육기관의 웹페이지 게시판에 글을 올릴 때 게시판의 본문 글이나 첨부파일의 글에서 개인정보를 검사한 후에 개인정보가 있으면 팝업 창을 통해 입력차단이 이뤄져야 한다.

개인정보 출력 차단도 마찬가지다. 사용자가 게시판에 있는 글을 클릭시 글이나 첨부파일에 개인정보가 있으면 ‘요청하신 페이지에 개인정보 등이 포함되어 있습니다’라는 문구의 팝업 창을 통해 차단돼야 하고, 구글이나 네이버, 기타 검색엔진 등이 개인정보가 있는 페이지를 검색하거나 정보를 가져갈 경우에도 ***으로 처리되거나 ‘개인정보에 해당돼 해당 정보는 볼 수 없습니다’라는 문구의 팝업창을 띄워 개인정보를 보호해야 한다는 것이다.

(3)웹서버 지원 및 안전성 기능

수강신청 등과 같이 사용자가 폭주할 경우 웹서버의 부하를 감소시킬 수 있도록 웹 시스템의 처리 용량을 증가시켜야 하고, 시스템 폭주 시 오버되는 세션은 웹서버가 처리할 수 있도록 안정성을 확보해야 한다. 또한, 시스템이 폭주되지 않도록 사전에 예방조치를 취해야 하고, 웹서버 장애 발생시 장비 보호 뿐 아니라 중단 없이 웹 서비스가 지원돼야 하며, 이로 인해 홈페이지의 응답속도가 저하되면 안된다.

(4)이상 징후 탐지

이상 징후 탐지는 사용자 패킷을 분석해 웹 서비스의 장애를 실시간 모니터링하고, 웹서비스가 느려지거나 장애가 발생하지 않도록 사용자 행위분석을 통해 위협요소를 사전에 탐지해야 한다.

따라서 개인정보보호를 위한 조치 방안으로 최 이사는 “많은 교육기관들의 현장을 둘러본 결과 앞서 언급한 개인정보보호 조치들이 이뤄지지 않고 있었다”고 밝히며, “실시간 모니터링을 통해 트래픽 분석, 웹 서버의 운영, 상황 모니터링, 사용자에 대한 분석이 필요하고, 웹서버의 응답시간, 가동율, 동시접속자수 등에 대한 상세한 분석으로 각 교육기관 특성에 맞는 개인정보보호 조치가 이뤄져야 한다”고 말했다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>