현재 교육 기관은 책과 연필로 주로 학습을 하던 고전적 방식에서 벗어나 점점 디지털 기술을 활용하는 쪽으로 변화하고 있습니다. 더군다나 COVID-19 사태가 터지면서 교육기관과 기술은 뗄래야 뗄 수 없는 관계가 되었습니다. 기술의 발전이 우리에게 많은 이득을 가져다 주었지만, 많은 정보를 온라인으로 처리하다 보면 개인정보 침해와 같은 피해가 일어날 수도 있습니다. 교육기관에서 일어날 수 있는 학생 프라이버시 취약점과 학교 VPN을 통해 정보를 보호하는 방법을 알아봅시다.
학생 데이터는 어떻게 수집되고 관리되고 있나요?
현재 교육기관에서 보관하는 학생 데이터는 다양합니다. 이름, 나이, 성별 등의 신상 정보는 물론이고 키, 몸무게 등의 건강정보, 성적 정보도 가지고 있습니다. 한 개인에 대한 거의 모든 정보가 다 저장된다고 봐도 과언이 아닙니다. 우리나라는 비교적 오래 전부터 정부 주도로 교육 정보화가 이루어졌습니다. 교육부는 NEIS(교육행정정보시스템) 와 같은 프로그램을 개발하여 초·중·고 학사 운영을 온라인 기반으로 해왔습니다. 대개 학생의 정보를 학사 관리자가 전산망에 입력하고, 시도 교육청과 관계 기관이 그 데이터를 관리합니다. 대학교의 경우, 대학 자체에 전산 시스템이 구축되어 있어 대학 전산 담당자가 학생 데이터를 관리합니다.
그렇게 수집된 학생 데이터는 에듀 테크(EdTech), SNS, 학사관리 시스템 등에 활용될 수 있습니다. 학생들이 Zoom 등의 회의 툴을 통해서 강의를 듣고, 온라인 시스템으로 과제를 제출합니다. 선생님은 학사관리 시스템을 통해서 학생들의 성적을 평가하고 저장합니다. 학교에서는 종종 학교 SNS 채널에 학생들의 사진을 올리기도 합니다. 점점 더 편리해지고 있지만, 그런 만큼 온라인상의 학생 개인정보 침해가 우려됩니다.
전국 27만명의 학생 개인정보가 유출되다
지난 2022년 11월, 경기도 교육청의 주관 하에 고2 전국연합학력평가가 실시되었습니다. 그런데 학력평가를 치르면서 수집된 27만명의 학생 개인정보가 유출되는 사건 이 발생하였습니다. 해커가 교육청 서버를 해킹하여 성적표 파일을 탈취했습니다. 유출된 데이터는 성적표 안에 포함된 내용으로, 학생들의 학교명, 학년, 반, 성명, 성별, 성적자료였습니다. 텔레그램 메신저와 디시인사이드 사이트를 통해 걷잡을 수 없이 빠른 속도로 퍼져 나갔습니다.
27만이라는 어마어마한 숫자의 데이터가 유출되었지만, 교육부에서는 앞으로 어떻게 이 보안 사고를 수습할 수 있을 지 마땅한 해답을 내놓지 못하고 있는 상태입니다. 이렇게 유출된 정보는 불법적인 경로를 통해 불특정 다수에게로 유통될 확률이 높습니다. 유출된 개인정보로 인해서 앞으로 학생들은 보이스 피싱 등의 범죄에 노출될 확률이 있는 것입니다.
이 사례는 아직도 교육기관이 학생 개인정보 관리에 안일한 태도를 가지고 있다는 것을 보여줍니다. 교육부와 교육청은 서로 책임을 회피하고 있습니다. 사실 이런 학생 개인정보 유출 사고가 이번이 처음이 아닙니다. 크고 작은 사고가 계속해서 있어 왔지만 개선이 안되어 27만 데이터가 유출되는 사고까지 이어진 것입니다. 우리는 어떻게 하면 앞으로 이런 일을 막을 수 있을까요?
학생 개인정보 침해 원인을 알아봅시다
우리가 학생 데이터 유출을 막기 위해서는 일단 원인을 파악해 보아야 합니다. 개인정보 침해의 원인은 보통 업무 담당자의 과실이거나, 해킹 등의 기술적인 피해로 일어날 수 있습니다.
- 과잉 수집: 교육기관에서 학생의 개인정보를 수집할 때에 불필요한 정보까지 수집하는 경우입니다. 업무와 불필요하고 법적 근거도 없는 과잉 정보를 수집한다면 개인정보 유출 시 더 큰 피해를 얻게 됩니다.
- 내부자의 업무 과실: 업무 담당자의 실수로 홈페이지, 이메일, SNS 등의 외부 전달용 채널에 개인정보가 포함되는 경우입니다. 또는 학생의 동의 없이 기존에 수집된 정보를 목적과 다르게 사용하는 경우도 있습니다.
- 감시 소프트웨어: 에듀 테크 프로그램 자체에 트래킹 기능이 있을 수도 있습니다. 세션 레코딩 기능이 있다면 학생이 프로그램을 사용하는 도중 발생시키는 이벤트를 모조리 수집합니다. 그러면서 에듀 테크 회사 측으로 학생 정보가 넘어가고, 분석된 데이터가 부적절한 용도로 사용될 수도 있습니다.
- 해킹 피해: 학생 정보를 보관하고 있는 시스템이 해킹을 당한 경우입니다. 앞서 말한 어떤 경우보다도 가장 큰 규모의 개인정보 피해를 초래하는 시나리오 입니다. 허가되지 않은 접근, 바이러스, 랜섬웨어 등 해킹의 유형은 다양합니다.
보안을 지키기 위해서는 어떤 것을 해야 할까요?
어떻게 하면 학생들을 개인정보 침해의 피해자가 되지 않게 할 수 있을까요? 몇 가지 제안사항을 참고해서 학생 데이터를 보호할 수 있습니다.
- 보안 VPN: 보안 기능이 있는 VPN을 학교 PC나 라우터에 설정을 해둡니다. 만약 집에서 학교와 관련된 프로그램을 사용한다면 집에 있는 디바이스에 VPN을 설정할 수 있습니다. 그러면 웹 트래킹, 악성 소프트웨어 등의 공격에서 학생 개인 정보를 보호 할 수 있습니다. 빠른 스트리밍 속도도 덤으로 얻을 수 있으니 학습 콘텐츠를 볼 때 많은 도움이 될 것입니다.
- ISMS 인증획득: ISMS란 기업의 정보보호 수준이 적합한지를 한국인터넷진흥원(KISA)이 인증해주는 제도 입니다. 현재 학생 데이터를 처리하는 공기업이 ISMS 의무 대상자로 선정 되어 있습니다. 앞으로는 공기업 뿐 아니라 관련 사기업까지 인증을 받는다면 보안 강화에 도움이 될 것입니다.
- 교육기관 대상 보안교육: 교육기관은 은행 등에 비해 상대적으로 해킹에 안전한 곳이라는 잘못된 인식이 만연히 퍼져 있습니다. 그러므로 보안에 대한 주기적인 교육이 필요하고, 또한 상위 기관에서 세부 가이드라인을 전달하여 현장에서 적용할 수 있게 해야 합니다.
- 학생 개인정보 관련 법 강화: 현재 기업이 개인정보법을 위반했을 때 받는 처벌 수준이 너무 미미하다는 지적이 있습니다. 몇 천만건의 데이터를 유출한 사고에도 과징금이 2,000만원 미만인 경우가 대부분입니다. 학생 데이터 유출 사고에 대해 학생들이 충분한 피해보상을 받을 수 있게 해야 하고, 기업에는 처벌 수위를 높여야 합니다.
마무리
여태까지 학생들의 개인정보 문제는 크게 주목 받지 못했습니다. 아무래도 교육기관의 우선순위는 학업 성취도라고 믿었기 때문입니다. 하지만 교육 정보화의 시대에 발맞추어 모두의 인식을 변화시키는 것이 중요합니다. 앞으로는 학생, 학부모, 교육기관 등 모두의 노력으로 학생 개인정보 침해 사고가 줄어들기를 바랍니다.
추천 이미지 크레딧: onlyyouqj / Freepik