교육기관 웹사이트들, 가장 기초적인 온라인 보안도 구축 안 돼
HTTPS 지원하는 곳도 거의 없고, 광고용 쿠키 추적도 광범위

[보안뉴스 오다인 기자] 교육 컨설팅 기업 에드테크 스트래티지스(EdTech Strategies)가 31일 발표한 연구에 따르면, 미국의 주(州)별 교육부 및 각 학구(學區) 웹사이트들이 가장 기초적인 온라인 보안이나 프라이버시 보호 조치조차 제대로 갖추고 있지 않은 것으로 나타났다.


에드테크 스트래티지스의 버지니아 주 알링턴 지역 총괄인 더글라스 레빈(Douglas Levin)은 지난 수년 간 학생들의 온라인 프라이버시에 대해 심각하게 고민하고 논의해온 결과, 이번 연구를 발표하게 됐다고 설명했다.

레빈은 “학생들을 보호할 필요가 있는 한편으로, 이들의 온라인 프라이버시에만 초점을 맞추는 데 여러 한계가 있다”고 말했다. “학구별 인적 자원, 음식, 의료, 교통 등에 모두 기술이 쓰이고, 교육자들과 부모들도 기술을 사용한다는 점을 명심해야 한다”고 그는 덧붙였다.

레빈은 미국 50개 주 교육부 웹사이트와 전국 159개 학구(초등학교 1학년부터 고등학교 3학년까지) 웹사이트에 대한 보고서들에 기초해 이번 연구를 진행했다고 밝혔다. 연구 제목은 ‘교육의 추적: 교육기관 웹사이트의 보안’으로, 레빈은 2017년 10월부터 2018년 1월까지 본 연구를 진행했다고 밝혔다.

이번 연구의 핵심만 정리해봤다.

보안 브라우저 부족
주별 교육부 및 지역별 교육기관의 웹사이트들은 대부분 보안 브라우저(secure browser)를 지원하지 않았다. 이는 단순히 웹사이트 뿐만 아니라 관련 학교들까지 위험하게 만드는 일이다. 게다가 최소 12개 주가 보안 브라우징을 위한 HTTPS를 지원하지 않았다. 해당 연구가 지적한 주들은 △아칸소 △코네티컷 △캔자스 △매릴랜드 △미시시피 △네바다 △뉴멕시코 △오클라호마 △로드아일랜드 △버몬트 △버지니아 △워싱턴 등이다.

광범위한 쿠키 추적
사실상 모든 주와 학군(159개 중 158개)이 온라인 광고회사와 파트너십을 맺고 웹사이트 상의 이용자 추적 및 감시 기능을 적용하고 있었다. 이들 웹사이트는 이 같은 사실을 이용자에게 고지하지 않았을 뿐더러 이용자가 해당 정보수집 기능을 어떻게 끌 수 있는지에 대해서도 알리지 않았다.

프라이버시 정책의 부재
주별 교육부 웹사이트의 약 15%가 프라이버시 정책을 아예 마련하지 않았다. 또한, 프라이버시 정책을 공지한 43개 주별 교육기관 중에서도 광고를 위한 쿠키 추적이나 이용자 감시 기능의 적용에 대해 알린 기관은 32개에 불과했다.

구글 서비스 약관 불이행
주별 및 지역 교육기관 웹사이트들이 구글 애널리틱스를 대부분 사용하고 있음에도, 오직 4개 주 교육부와 2개 학구가 구글의 서비스 약관을 준수하고 있는 것으로 나타났다. 어떤 정보가 수집되는지, 어떻게 이용자가 이를 해제할 수 있는지 등 프라이버시와 관련된 사실을 이용자에게 공지하라고 구글 서비스 약관에 명시돼 있지만 정작 교육기관 중 이를 지키는 곳은 거의 없다는 사실이 드러난 것이다.

레빈은 초등학교 1학년부터 고등학교 3학년까지 대상으로 하는 각 주의 교육부와 학구가 보안 브라우징을 제공하기 위해 HTTPS를 적용해야 하며, 광고 추적기의 존재를 알릴 방법도 찾아야 한다고 강조했다. 그는 메인 주와 유타 주의 웹사이트를 보면, 주별 또는 학구별 교육기관의 웹사이트가 부모, 교육자, 기타 관계자들에게 어떻게 의미 있는 경험을 선사할 수 있는지 알 수 있다고 말했다. 이용자 몰래 침입한 광고용 쿠키 추적기가 없으면 어떻게 프라이버시가 보장되는지 이들 웹사이트에서 보여주고 있다는 것이다. 예컨대, 메인 주는 이용자의 승인 없이는 개인정보를 기록하지 않는다.
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>