한양사이버대, 교육기관 최초 ISMS 인증획득

학생 개인정보보호는 사이버대학의 경쟁력

2002년 3월 개교한 한양사이버대학교(학장 현병철)는 4월 1일 기준 재학생 수만 8600명이 넘는다. 이름난 지방 국립대학도 재학생이 8000명 정도에 불과한 것을 감안하면 학생규모면에서 종합대학 못지않은 규모다. 이들의 정보는 어떻게 보호되고 있을까.

현재 국내에는 17개 정도의 사이버대학들이 있다. 저들마다 다양한 교육 커리큘럼을 가지고 학생유치에 열을 올리고 있다. 하지만 오프라인 대학들이 눈에 보이지 않는 서열이 정해져 있는 것처럼 사이버대학들 가운데도 재학생 규모나 운영적인 면에서 서열이 정해져 있다.

소위 상위 4~5개 학교에 사이버대학 학생들의 70%가 몰려 있다고 해도 과언이 아니다. 이나마 정원제가 시행돼서 그렇지, 규정이 없었더라면 편중증세는 더욱 심했을 것으로 보인다.

주로 학생들은 직장인들이 대부분이라고 한다. 시간을 쪼개서 자신이 하고 싶은 공부를 할 수 있고 언제 어디서나 수강을 들을 수 있다는 점이 사이버대학의 강점이다. 그리고 수강료도 오프라인 대학에 비해 1/2 수준이다.

이렇게 많은 수의 학생들이 사이버 공간에서 강의도 듣고 리포트도 제출하고 시험도 본다. 그래서 사이버대학에서 가장 중요한 부분중 하나가 보안문제다. 네트워크의 안정성 문제다.

만약 학생들의 개인 성적표나 개인신상 자료들이 해킹에 의해 유출된다면 어떻게 될까. 온라인상에서 치러지는 시험에 오류가 생긴다면 과연 사이버대학에서 받은 학점을 인정받을 수 있을까. 사이버 강의 도중 강의가 끊어진다거나 접속이 안된다면 어떻게 될까.

사이버대학에서 보안은 생존과 직결되는 문제다. 24시간 네트워크망에 이상이 없어야 하고 모든 학생 관리 기록들이 서버에 암호화돼 안전하게 보호돼야 한다. 과연 사이버대학들은 보안에 얼마나 신경을 쓰고 있을까.

지난 5월 25일 한양사이버대학교(www.hanyangcyber.ac.kr)가 국내 대학 최초로 ISMS(정보보호관리체계) 인증을 획득했다.

이정훈 한양사이버대학교 정보지원실 팀장은 “교육계 최초로 개인정보 처리와 관련된 업무 및 시스템 범위에 대한 ISMS 인증을 획득했다”며 “인증획득을 위해 지난해 11월부터 정보보호위원회를 운영하며 정보처리시스템 자산, 소프트웨어 자산, 데이터 자산, 문서 자산, 시설 자산 총 5개 그룹으로 정보자산을 분리해 보다 실질적인 관리가 이루어질 수 있도록 했다”고 설명했다.

이 대학은 특히 개인 및 학생정보를 포함해 한양사이버대학교가 보유하고 있는 모든 정보에 대한 전반적인 보안관리체계를 구축했으며 개인 및 학생 정보보안 현황 점검, 위험분석, 위험평가, 보호대책 수립 및 구현, 정보보호 관련 제반 시스템과 프로세스에 정보보호관리체계 인증심사 기준을 적용해 철저하게 인증심사를 준비했다고 한다.

이정훈 팀장은 “2005년 경에 경미한 보안사고가 한번 있어서 그후 보안에 상당히 신경을 쓰고 있다. 특히 교육부에서 2005년에 개인정보보호 관리 지침이 내려와 이에 준한 보안 프로세스를 구축하고자 이번 기회에 ISMS 인증획득을 준비해 받게 됐다”고 말했다.

이 대학은 또 전 교직원을 대상으로 정보보호 보안시스템에 대한 교육을 실시함으로써 정보보안의 중요성을 전 교직원이 공유하고 생활화하는 계기를 만들어 가고 있다.

대학 관계자는 “학교는 교육서비스 기관이다. 서비스 기관이 고객인 학생들의 정보를 체계적으로 관리하지 않는 것은 서비스를 포기하는 일이다. 이를 실천하기 위해 지난해부터 보안교육을 직원과 교수를 대상으로 년 2회 실시하고 있다”고 말했다.

또한 지난 3월에는 한국정보통신산업협회로부터 개인정보보호마크와 인터넷안전마크를 획득한바 있다. 이 두 개의 인증마크는 학생들의 개인정보를 보호하기 위한 대학측 노력의 일환이다.

ISMS 인증 획득을 위해 한양사이버대학에서는 구체적으로 어떤 노력들을 기울였을까.

우선 2006년 4월부터 인증을 받기 위해 제3기관으로부터 보안컨설팅을 받았다. 컨설팅을 받으면서 보안정책 지침과 규정을 새롭게 정립했다. 또 컨설팅 과정에서 전 직원의 보안교육이 실시됐다.

인증의 범위도 전체보다는 학생들의 개인정보 처리와 관련된 업무 및 시스템에 한정시켰다. 가장 중요한 부분에 집중해 보안 인증을 받겠다는 전략을 수립한 것이다.

학생 개인정보보호를 위해서는 물적 시스템도 중요하다. 학내 직원들이 어디를 가든 RFID 카드 시스템으로 통제를 받고 모든 동선이 데이터에 남게 된다. 또 중요 서류와 데이터들은 IDC에서 자체 보안 시스템으로 보호하고 있다.

또한 학내 모든 시스템에는 인가자 이외에는 접근을 통제하고 있으며 추적시스템을 사용해 비인가자의 데이터 접근을 24시간 모니터링하고 있다. 특히 학내 IP대역 이외에는 접근이 원천 차단돼 있다.

모든 PC에는 안티바이러스 제품이 돌아가고 네트워크 단에는 방화벽을 비롯해 IPS, IDS 등 네트워크 보안장비들이 구축된 상태다. VPN장비는 추가 예정에 있다.

클린 데스크를 지향하고 있으며 모든 서류는 사용후 분쇄기를 사용해 파기하고 이면지는 사용하지 않는다고 한다. 물론 사무실내 학생출입은 금지돼 있다.

이 팀장은 “ISMS 인증 과정이 전산감리보다 더 힘들었다. 지난해 12월부터 본격 준비해 올해 4월에 끝났다. 5개월간 준비하고 3일간 KISA 전문 인증심사팀 4명이 나와 심사를 통과했다”고 말했다.

학내 IT인프라는 LG CNS에서 맡고 있다. 서버네트워크 관리를 학교측과 LG CNS측 각각 2명, 총 4명이 관리를 하고 있다. 또한 침입유형탐지 모니터일 시스템을 활용해 이상 징후가 발견되면 즉시 조치하고 있다고 한다.

한편 인증을 받으면서 각 부서별 팀장이 보안책임자가 되어 서트를 구성했다. 지원실, 인사, 총무, 홍보 각 부서별로 발생하는 보안문제에 대해 서트 구성원간 커뮤니케이션을 통해 문제를 해결한다는 것이다. 모든 보안 사고발생시 서트에서 대응한다는 원칙을 정해놓고 있다.

또 교수목소리를 가장해 학생의 정보를 빼내려는 사회공학적 공격방법에도 대책을 세우고 있다. 모든 학생정보 요구는 정보지원실의 허락을 받아야 하고 그 사유서를 제출해야 한다.

소프트웨어 개발운영보안과 소스코드보안은 벌써 2005년에 구축했다고 한다. 웹페이지 전체가 암호화돼 있고 로그인방법도 ID/PW 이외에 선택적으로 공인인증서를 통해 로그인을 할 수 있도록 지원하고 있다. 공인인증서 사용 비용은 학교가 부담한다.

그리고 개교시부터 학생의 모든 로그기록을 남기고 있기 때문에 부정 접속자를 가려내고 시험의 공정성을 헤치지 않도록 관리하고 있다.

현병철 한양사이버대학교 학장은 “사이버대학교는 전 학습과정이 온라인으로 전행되기 때문에 일반 대학보다 더욱 완벽한 정보보호시스템이 요구된다”며 “교육계 최초로 ISMS 인증을 획득한 한양사이버대학교는 앞으로도 학교의 정보자산 뿐만 아니라 학생 개인의 정보보안과 관리에도 최선을 다할 것”이라고 밝혔다. 

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>