.gif)
대학들 정보보안 및 개인정보보호 수준진단 결과 우수하지만, 유출사고 끊이지 않아
[보안뉴스= 정환석 개인정보보호 전문가/이학박사] 2025년도 신학기가 시작됐다. 대학교에는 신입생들이 입학해 수강 신청과 학생증 발급, 각종 클럽에 가입하며 새로운 출발을 시작하고 있다. 개인정보도 함께 수집되고 있고 대학 전산시스템과 개인정보 수집/이용 동의서류 보관함에 한 장씩 한 장씩 쌓이고 있다.
[자료: gettyimagesbank]
이렇게 수집되는 개인정보는 잘 관리되고 있을까? 교육부에서는 지침에 근거해 매년 대학교의 정보보호 수준을 향상시키고, 안전한 사이버 환경을 구현하기 위해 ‘정보보호 수준 진단’을 실시하고 있다. 하지만 이러한 노력에도 불구하고 2024년에 전북대, 경북대, 홍익대학교 등 국공립·사립을 불문하고 해킹 또는 담당자의 실수 등으로 개인정보가 유출되는 사고가 발생했다. 대학교 관리 운영 구성원들의 개인정보 보호에 대한 인식이나 정보보호 관리 수준이 낮다면 개인정보의 수집은 또 다른 유출을 위한 자연스러운 유입이라 할 수 있다. 이에 대학교 개인정보 보호 수준에 대해 문제점과 개선 방안에 대해 제언하고자 한다.
교육부 정보보호 수준 진단 ‘우수 등급’을 받으면 개인정보 유출 사고는 없다?
대학은 교육부 지침에 근거해 매년 정보보호 수준을 진단하고 결과를 공개하고 있다. 진단은 ‘정보보안’과 ‘개인정보 보호’ 부문으로 나뉘며, 각각 70개와 28개의 항목을 진단한다. 진단 결과는 우수(80점 이상), 보통(70점 이상), 미흡(70점 미만), 미실시로 나뉘며, ISMS(P) 인증을 받으면 진단을 대체할 수 있다.
▲2022~2024년 국/공립 및 사립대 ‘정보보안’ 및 ‘개인정보보호’ 수준진단 결과[단위: 교, 자료: 대학알리미]
진단 결과 관리수준의 보완이 필요한 대학은 얼마나 될까? 대학알리미에 공시된 ‘미흡’ 기관의 비율은 ‘정보보안’ 부문에서 2022년 22%(42개/193개), 2023년 18%(34개/194개), 2024년 9%(17개/194개), ‘개인정보보호’ 부문에서 2022년 17%(33개/193개), 2023년 21%(41개/194개), 2024년 18%(34개/194개)이다(진단은 대학 자체진단에 의한 결과이므로 실제 관리 수준에 대해서는 현장 확인이 필요할 것이다). 정보보안 부문의 ‘미흡’ 진단 대학의 수는 줄어드는 추세지만, 개인정보보호 부문은 여전히 전체 대학의 20% 정도를 차지하고 있다. 교육부의 계속적인 관리 노력에도 불구하고 대학의 정보보호 수준 제고를 위한 노력은 여전히 절실하다.
▲연도별 수준진단 결과와 개인정보 유출사고 발생대학[자료 : 대학알리미 공시 결과, 더불어민주당 진선미 의원실, 언론보도 및 학교 공지 정리]
여기서 주목할 것은 진단 결과 ‘우수’ 등급 또는 ‘ISMS(P)’를 받은 대학들이다. 이들은 유출 사고 없이 잘 관리하고 있을까? 이화여대와 홍익대는 ISMS 취득 및 개인정보보호 관리 수준이 3년 연속 ‘우수’ 등급이고, 경북대와 전북대는 ‘보통’ 이상 수준이었으나 해킹과 업무 담당자 부주의로 유출 사고가 발생했다. 홍익대와 경북대의 경우 담당자의 관리수준 제고 노력에도 불구하고 직원의 부주의로 이메일을 통해 자연스럽게 개인정보가 유출되었고, 전북대와 이화여대의 경우는 해킹 수준이 높지는 않았지만, 학교 시스템의 취약점을 이용해 간단히 접속해 엄청난 양의 개인정보를 유출했다.
이는 기관의 개인정보보호 담당자와 책임자의 노력과 관심 정도에 따라 관리 수준 점수는 높일 수 있겠지만, 대학 전체 구성원의 인식과 개선 노력이 부족하다면 언제든지 개인정보는 유출될 수 있다는 것이다.
하지만, 현실의 공공기관(대학교 포함) 개인정보보호 업무는 기피 대상 1호이다. 해야 할 일과 이에 따라 책임져야 할 일들은 많지만, 성과나 보상 등은 미미하다는 이유이다.
정부의 ‘공공부문 개인정보 유출 방지대책(국정현안점검 조정회의, 2022.7)에 따르면 개인정보 유출 시 원 스트라이크 아웃(파면/해임) 제도가 그것이다. 물론 담당자 고의 유출 또는 부정 이용에 해당하지만, 위반행위에 대한 제재가 강화되고 있어 누구도 맡고 싶어 하지 않는 것이다.
하지만, 누군가는 해야 할 일이므로 적정 인력이 적정기간 복무해 안정적인 보호 활동을 보장하고 성과에 대해 보상토록 해야 할 것이다. 즉, 기관의 개인정보보호 담당자는 최소 3년 이상의 업무 경력자로, 최소 2년 이상 근무기간을 지정해 업무의 지속성을 보장하고, 전문 교육을 우선 이수하도록 의무화해 전문성을 향상해야 할 것이다. 아울러 대학의 개인정보 취급자들이 개인정보보호법의 내용을 업무 전반에 녹이고 지속 관리해 소중한 학생들의 정보를 잘 보호하도록 지원해야 할 것이다.
그리고 이렇게 업무 동안 개인정보보호 업무를 잘 관리 할 경우에는 대학 내외부 포상에 우선 추천하고 성과 또한 보장해 주어야 할 것이며, 이를 위해서는 줄어든 교육 예산을 올려야 할 것이다(2023년 10억8900만원, 2024년 6억5000만원, 40.31%↓, 출처: 교육부 2024년도 예산 및 기금운영계획).
대학의 개인정보는 구성원(교직원, 교수, 학생 등) 스스로 지킬 수 있도록 교육하고 홍보하는 등 관리 체계 구축해야
모 대학교 학생이 자기가 다니는 대학 홈페이지의 취약점을 발견해 관계자에 신고했으나, ‘다른 사람에게는 알리지 말라’고만 하고 사후 조치는 하지 않았다고 한다. 이 사례는 대학 내 정보보호 전문가의 부재, 구성원의 인식 및 교육과 홍보의 부족이라 할 수 있다. 이를 보완하기 위해서 대학 내 정보보호 전문가를 채용(직원, 교수 또는 전문업체 계약)해 문제점을 분석하고, 개인정보보호 관리 체계를 구축해야 한다. 이를 통해 대학 차원의 정보보호 활동을 시행해 학교 전반의 문제점을 지속적으로 개선하고 홍보해야 할 것이다.
또한, 정보보호 전문과정을 신설(학과, 마이크로 디그리 과정, 교양필수 과목 개설 등)해 학생들에게 정보보호에 대한 인식 제고와 전문 교육을 시행해야 할 것이다. 학생 시절에 정보보호에 대해 제대로 된 교육을 받는다면, 졸업 후 사회생활 속에서도 소속 기관의 개인정보를 잘 보호하고 활용할 수 있을 것이다.
2025년은 데이터를 기반으로 한 AI 전성시대다. 개인정보에 기반한 데이터를 학습한 인공지능은 계속 발전해 나갈 것이고 인간의 삶을 행복하게 만들어 갈 것이다. 이를 위해 개인정보는 계속해서 생성되고 활용될 것이다. 활용은 보호를 기반으로 발전할 때 그 의미가 있다. 2025년에는 관리체계의 확립과 수행으로 대학 내 개인정보 유출 사고가 더 이상 발생하지 않기를 기대한다.
[글_ 정환석 개인정보보호전문가/이학박사]
[보안뉴스= 정환석 개인정보보호 전문가/이학박사] 2025년도 신학기가 시작됐다. 대학교에는 신입생들이 입학해 수강 신청과 학생증 발급, 각종 클럽에 가입하며 새로운 출발을 시작하고 있다. 개인정보도 함께 수집되고 있고 대학 전산시스템과 개인정보 수집/이용 동의서류 보관함에 한 장씩 한 장씩 쌓이고 있다.
[자료: gettyimagesbank]
이렇게 수집되는 개인정보는 잘 관리되고 있을까? 교육부에서는 지침에 근거해 매년 대학교의 정보보호 수준을 향상시키고, 안전한 사이버 환경을 구현하기 위해 ‘정보보호 수준 진단’을 실시하고 있다. 하지만 이러한 노력에도 불구하고 2024년에 전북대, 경북대, 홍익대학교 등 국공립·사립을 불문하고 해킹 또는 담당자의 실수 등으로 개인정보가 유출되는 사고가 발생했다. 대학교 관리 운영 구성원들의 개인정보 보호에 대한 인식이나 정보보호 관리 수준이 낮다면 개인정보의 수집은 또 다른 유출을 위한 자연스러운 유입이라 할 수 있다. 이에 대학교 개인정보 보호 수준에 대해 문제점과 개선 방안에 대해 제언하고자 한다.
교육부 정보보호 수준 진단 ‘우수 등급’을 받으면 개인정보 유출 사고는 없다?
대학은 교육부 지침에 근거해 매년 정보보호 수준을 진단하고 결과를 공개하고 있다. 진단은 ‘정보보안’과 ‘개인정보 보호’ 부문으로 나뉘며, 각각 70개와 28개의 항목을 진단한다. 진단 결과는 우수(80점 이상), 보통(70점 이상), 미흡(70점 미만), 미실시로 나뉘며, ISMS(P) 인증을 받으면 진단을 대체할 수 있다.
▲2022~2024년 국/공립 및 사립대 ‘정보보안’ 및 ‘개인정보보호’ 수준진단 결과[단위: 교, 자료: 대학알리미]
진단 결과 관리수준의 보완이 필요한 대학은 얼마나 될까? 대학알리미에 공시된 ‘미흡’ 기관의 비율은 ‘정보보안’ 부문에서 2022년 22%(42개/193개), 2023년 18%(34개/194개), 2024년 9%(17개/194개), ‘개인정보보호’ 부문에서 2022년 17%(33개/193개), 2023년 21%(41개/194개), 2024년 18%(34개/194개)이다(진단은 대학 자체진단에 의한 결과이므로 실제 관리 수준에 대해서는 현장 확인이 필요할 것이다). 정보보안 부문의 ‘미흡’ 진단 대학의 수는 줄어드는 추세지만, 개인정보보호 부문은 여전히 전체 대학의 20% 정도를 차지하고 있다. 교육부의 계속적인 관리 노력에도 불구하고 대학의 정보보호 수준 제고를 위한 노력은 여전히 절실하다.
▲연도별 수준진단 결과와 개인정보 유출사고 발생대학[자료 : 대학알리미 공시 결과, 더불어민주당 진선미 의원실, 언론보도 및 학교 공지 정리]
여기서 주목할 것은 진단 결과 ‘우수’ 등급 또는 ‘ISMS(P)’를 받은 대학들이다. 이들은 유출 사고 없이 잘 관리하고 있을까? 이화여대와 홍익대는 ISMS 취득 및 개인정보보호 관리 수준이 3년 연속 ‘우수’ 등급이고, 경북대와 전북대는 ‘보통’ 이상 수준이었으나 해킹과 업무 담당자 부주의로 유출 사고가 발생했다. 홍익대와 경북대의 경우 담당자의 관리수준 제고 노력에도 불구하고 직원의 부주의로 이메일을 통해 자연스럽게 개인정보가 유출되었고, 전북대와 이화여대의 경우는 해킹 수준이 높지는 않았지만, 학교 시스템의 취약점을 이용해 간단히 접속해 엄청난 양의 개인정보를 유출했다.
이는 기관의 개인정보보호 담당자와 책임자의 노력과 관심 정도에 따라 관리 수준 점수는 높일 수 있겠지만, 대학 전체 구성원의 인식과 개선 노력이 부족하다면 언제든지 개인정보는 유출될 수 있다는 것이다.
하지만, 현실의 공공기관(대학교 포함) 개인정보보호 업무는 기피 대상 1호이다. 해야 할 일과 이에 따라 책임져야 할 일들은 많지만, 성과나 보상 등은 미미하다는 이유이다.
정부의 ‘공공부문 개인정보 유출 방지대책(국정현안점검 조정회의, 2022.7)에 따르면 개인정보 유출 시 원 스트라이크 아웃(파면/해임) 제도가 그것이다. 물론 담당자 고의 유출 또는 부정 이용에 해당하지만, 위반행위에 대한 제재가 강화되고 있어 누구도 맡고 싶어 하지 않는 것이다.
하지만, 누군가는 해야 할 일이므로 적정 인력이 적정기간 복무해 안정적인 보호 활동을 보장하고 성과에 대해 보상토록 해야 할 것이다. 즉, 기관의 개인정보보호 담당자는 최소 3년 이상의 업무 경력자로, 최소 2년 이상 근무기간을 지정해 업무의 지속성을 보장하고, 전문 교육을 우선 이수하도록 의무화해 전문성을 향상해야 할 것이다. 아울러 대학의 개인정보 취급자들이 개인정보보호법의 내용을 업무 전반에 녹이고 지속 관리해 소중한 학생들의 정보를 잘 보호하도록 지원해야 할 것이다.
그리고 이렇게 업무 동안 개인정보보호 업무를 잘 관리 할 경우에는 대학 내외부 포상에 우선 추천하고 성과 또한 보장해 주어야 할 것이며, 이를 위해서는 줄어든 교육 예산을 올려야 할 것이다(2023년 10억8900만원, 2024년 6억5000만원, 40.31%↓, 출처: 교육부 2024년도 예산 및 기금운영계획).
대학의 개인정보는 구성원(교직원, 교수, 학생 등) 스스로 지킬 수 있도록 교육하고 홍보하는 등 관리 체계 구축해야
모 대학교 학생이 자기가 다니는 대학 홈페이지의 취약점을 발견해 관계자에 신고했으나, ‘다른 사람에게는 알리지 말라’고만 하고 사후 조치는 하지 않았다고 한다. 이 사례는 대학 내 정보보호 전문가의 부재, 구성원의 인식 및 교육과 홍보의 부족이라 할 수 있다. 이를 보완하기 위해서 대학 내 정보보호 전문가를 채용(직원, 교수 또는 전문업체 계약)해 문제점을 분석하고, 개인정보보호 관리 체계를 구축해야 한다. 이를 통해 대학 차원의 정보보호 활동을 시행해 학교 전반의 문제점을 지속적으로 개선하고 홍보해야 할 것이다.
또한, 정보보호 전문과정을 신설(학과, 마이크로 디그리 과정, 교양필수 과목 개설 등)해 학생들에게 정보보호에 대한 인식 제고와 전문 교육을 시행해야 할 것이다. 학생 시절에 정보보호에 대해 제대로 된 교육을 받는다면, 졸업 후 사회생활 속에서도 소속 기관의 개인정보를 잘 보호하고 활용할 수 있을 것이다.
2025년은 데이터를 기반으로 한 AI 전성시대다. 개인정보에 기반한 데이터를 학습한 인공지능은 계속 발전해 나갈 것이고 인간의 삶을 행복하게 만들어 갈 것이다. 이를 위해 개인정보는 계속해서 생성되고 활용될 것이다. 활용은 보호를 기반으로 발전할 때 그 의미가 있다. 2025년에는 관리체계의 확립과 수행으로 대학 내 개인정보 유출 사고가 더 이상 발생하지 않기를 기대한다.
[글_ 정환석 개인정보보호전문가/이학박사]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
_TH.jpg)
 TH.jpg)
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
