• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

프라이버시·개인정보 침해로 골병 드는 우리 아이들 2014.11.01

최소수집 원칙 위반·개인정보 과다 이용 등 교육기관 시스템 지적


[보안뉴스 김경애] 잇따른 개인정보 유출사고 피해는 학생들이라고 해서 예외는 아니다. 지난 6월에는 교육사이트 꿀맛닷컴이 해킹됐으며, 동영상 강의 등을 이용하는 교육 사이트에서도 줄줄이 개인정보가 빠져나갔다.


또한 게임계정이 탈취되거나 교육기관에서 다른 학생의 개인정보를 여러 학생이 동시에 열람하는 사태도 벌어졌다. 이 뿐만 아니다. 부모의 직업, 가정환경 등 과다수집과 프라이버시 침해 논란까지 불거지고 있다. 이로써 우리 아이의 개인정보가 위험수위에 방치돼 있는 것.

보다 못한 엄마들이 단단히 뿔이 나 두 팔을 걷어부쳤다. 학부모정보감시단이 주최한 ‘2014 학생프라이버시 보호 세미나 학생 프라이버시-진단과 대안’ 세미나가 31일 한국프레스센터에서 열렸다. 


이번 세미나는 ‘클라우드 시대의 학생 프라이버시 보호-개념과 적용’과 ‘스마트 미디어 시대-학생 프라이버시 현실과 대안’ 두 세션으로 나눠 진행됐다.


첫 세션은 카이스트 정보보호대학원 한상근 교수가 발제를 맡은 가운데 종합 세션토론으로 숭실대 신용태 교수, 한국인터넷진흥원 심재민 단장, 법무법인 한중 정경오 변호사가 참여해 학생 정보보호 이슈 등에 관해 논의했다.


먼저 발제를 맡은 한상근 교수는 학생정보가 급속도로 클라우드 서비스에 위탁되고 있는 점과 교육행정정보 서비스인 나이스(NEIS)의 문제점을 지적했다. 특히, 최근 경기도내 2,285개에 이르는 초중고가 컴퓨터 백신 프로그램 일괄 교체기간중 2개월 가량 공백이 생기면서 보안 약화와 시스템 충돌 등 업무 지장을 겪고 있다고 밝혔다.


그러면서 한 교수는 “학생정보를 위탁 관리하는 곳에서 학교를 설득해 계약조건을 변경하고, 학생정보를 제3자에게 제공하는 일이 발생하고 있다”며 “전국 모든 학생의 정보를 교육부가 가지고 있을 필요가 없다. 학생정보를 누구에게 제공하고 또 제공받고 있는지 알고 있어야 하며, 최종소유권은 학생과 학부모임을 명확히 인지해야 한다”고 강조했다.

 ▲ 좌측부터 카이스트 정보보호대학원 한상근 교수, 한국인터넷진흥원 심재민 단장, 홍익대학교 법과대학 황창근 교수(사회), 숭실대 SW특성화대학원 신용태 원장, 법무법인 한중 정경오 변호사

이어 종합토론에서 KISA 심재민 단장은 “최근 개인정보보호 이슈를 살펴보면 인식은 개선되고 있는 반면, 불법유통은 증가하는 추세”라며, “특히 앱을 통한 개인정보 수집이 증가하고 있다”고 밝혔다.


법무법인 한중 정경오 변호사는 “학교생활기록부, 건강기록부 처리, 부모 이혼여부 등 학교에서의 지나친 정보수집으로 프라이버시 침해와 최소수집 원칙에 반하고 있다”고 밝혔다. 또한 그는 “학생이 졸업했음에도 불구하고 개인정보를 파기하지 않고 있는 것은 규정 위반”이라고 지적했다.

이어 숭실대 신용태 교수는 “정보의 안정성과 관리 측면에서 정보를 중앙집중화하는 것보다 분산하는 것이 좋다”며, “대부분의 보안사고는 인재인 경우가 많기 때문에 책임소재를 명확히 하는 문화가 중요하다”고 강조했다.


이어진 세션에서는 교육부 정병호 교육정보화과장의 발제와 함께 경찰청 사이버안전국 최준영 경정, 서울한산초등학교 심재민 과학정보부장, 지란지교시큐리티 강정구 부장, 디지털가족문화연구소 이진수 사무국장 등이 종합토론에 참여했다. 특히, 두번째 세션에서는 스마트폰에서의 프라이버시와 개인정보보호 이슈, 그리고 나이스 문제가 부각됐다.


발제를 맡은 정병호 과장은 나이스 시스템에 구축된 DB보안, 서버보안, 통합보안관리, 네트워크 보안, 클라이언트 보안 등의 보안체계를 설명했다. 나이스 관리체계와 관련해서는 나이스를 열람할 경우 교사의 로그기록은 남지만 학생 개인별로는 관리상 불편함과 비용 발생 등의 문제로 로그기록이 남지 않는다는 것. 이와 관련해 그는 “현재 국회와 협의 중에 있지만 보다 신중한 검토가 필요할 것 같다”며, “현재 나이스의 실제 데이터 관리권한은 각 학교장에게 부여된다”고 덧붙였다.


이어 심재민 과학정보부장(교사)은  “나이스로 개인정보 처리도 하지만 교사 PC에서 엑셀파일로 된 개인정보를 직접 처리하는 경우도 있다”며 “이 경우에는 개인정보 탐지 프로그램이 운영되고 있다”고 설명했다. 이와 함께 그는 학생들의 개인정보보호 인식제고를 위한 교육이 요구되지만, 학생들 눈높이에 맞춘 교육자료가 없다며 보다 적극적인 교육 필요성을 강조했다.


경찰청 사이버안전국 최준영 경정은 나이스 시스템 개선을 강조하면서 학생의 개인정보보호 차원에서 불편하더라도 안정성을 강화하려는 노력이 필요하고, 이를 위해 다른 기관의 보안체계도 검토해줄 것을 당부했다.

 ▲ 교육부 정병호 교육정보화과장, 지란지교시큐리티 강정구 부장, 경찰청 사이버안전국 최준영 경정, 학부모정보감시단 이경화 대표(사회) 서울한산초등학교 심재민 과학정보부장,  디지털가족문화연구소 이진수 사무국장


나이스와 관련해 디지털가족문화연구소 이진수 사무국장은 “나이스 모바일앱에서 사진, 미디어, 파일, 통화정보, 위치정보 등을 수집하고 있는 이유를 모르겠다”며 지적했다.


이와 관련 지란지교시큐리티 강정구 부장은 “이는 일반적으로 앱에서 제공하는 서비스를 이용할 수 있도록 하기 위함으로, 서비스를 스캐닝해 단말기에 사진 형태로 저장할 수 있다. 그러나 나이스 앱에서는 사실상 그 기능이 없기 때문에 좀더 살펴볼 필요가 있다”고 설명했다.


또한 강 부장은 “기술적 측면에서 볼 때 수집된 정보가 서버로 넘어가지는 않지만 사용자 입장에서는 오해할 수 있기 때문에 보다 구체적이고 정확하게 알리려는 노력이 필요하다”고 덧붙였다. 

[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>