교육기관 `해커놀이터` 오명 벗는다

관련 통계자료 다운로드 교육기관별 정보통신보안 적용 기준(안)

국내 최대 정보보호 취약지로 그동안 ‘해커 놀이터’라는 지적을 받아온 교육기관이 오명 벗기에 나섰다.

 교육인적자원부는 최근 관련 소속 기관과 국공립·사립대학, 시·도 교육청 등 9개 기관을 대상으로 ‘교육기관 개인정보보호 및 정보통신 보안 실태점검’을 실시하고 이 결과를 바탕으로 올해 안에 종합 대책을 마련할 계획이다.

 교육부가 산하 교육기관을 중심으로 대대적인 정보보호 실태 점검을 시행한 것은 이번이 처음이다. 교육부는 시·도교육청과 국공립·사립대학 등 소속 기관에 매년 기관별로 개인정보보호 계획을 수립하게 하고 활동을 평가할 방침이다.

 교육부 관계자는 “그동안 교육기관이 해킹과 바이러스 등에 노출돼 보안 최대 취약 기관이라는 오명을 얻었다”며 “이번 실태 조사를 통해 시스템 운용상의 문제점을 파악하고 관련 제도 정비와 교육부 차원의 종합 대책안을 올해 안에 완성해 공개할 것”이라고 말했다.

 ◇실태점검=이번 교육부의 ‘교육기관 개인정보보호 및 정보통신 보안 실태점검’과 대책 마련은 국내 공공기관의 정보보호 수준을 한 단계 높이는 데 크게 일조할 것이라는 점에서 주목을 끈다.

 점검 결과 개인정보보호의 경우 개인정보의 개념과 유형, 보호범위, 판단규범이 구체적으로 정립되지 않은 것으로 진단됐다. 특히 일부 기관은 개인정보보호의 책임을 갖는 공공기관에 해당하는 것조차 인지하지 못하는 것으로 드러났다. 개인정보보호책임관이 지정돼 있지 않은 경우가 많으며 관련 교육도 미실시한 것으로 나타났다.

 정보통신보안 점검 결과 백신 자동화는 조사기관의 절반 이상이 설치했으나 윈도 취약점을 공격하는 인터넷웜을 예방하는 패치 자동화는 350개 기관 중 50개 기관(14.2%)만 설치했다. 시·도교육청, 국립대학 등 82개 기관 중 75개 기관(92.4%)이 침입차단시스템을 설치했으나 사립대학은 61.4%만이 구축한 것으로 나타났다.

 교육기관들은 정보통신 보안 전담 인력이 턱없이 부족하고 특히 업무의 연속성과 전문성이 부족한 것으로 지적됐다. 대학의 경우 학과별 PC서버, 실습실 PC 등 불특정 다수가 공동으로 사용하는 시설의 관리가 소홀한 것은 물론 관리 지침과 제도가 없는 것으로 조사됐다.

 ◇조치 및 향후 계획=교육부는 이번 조사 결과를 토대로 개인정보보호와 정보통신보안을 대폭 강화하는 대책을 마련, 올해 말 발표할 계획이다.

 각 교육기관에 개인정보보호 계획을 수립하도록 하고 다음달 말 2005년도 개인정보보호 계획을 수립해 시행할 예정이다. 또 내년 상반기 중 개인정보 침해 사례를 수집해 교육자료로 개발하고 교육행정기관 개인정보보호 지침을 전면 개정할 방침이다. 개인정보보호책임관을 지정해 업무를 전문화하는 방안도 마련키로 했다.

 정보통신 보안을 위해서는 교육기관별 정보통신보안 적용 기준을 마련해 기관에 통보할 예정이다. 표참조

 이 같은 조치가 시행될 경우 앞으로 교육기관들은 강제적으로 패치를 적용하고 백신 업데이트를 자동화해야 하며, 이를 지키지 않으면 네트워크를 단절하는 강력한 조치가 내려질 수 있다. 또 주요 정보에 대한 강제적 접근 통제를 시행하고 시스템 불법 침입을 탐지·차단하는 솔루션을 구축해야 할 것으로 보인다.

 김인순기자@전자신문, insoon@