대교연 연구

1. 대학 27.5%가 정보보호 ‘미흡’

○ 대학은 전자정부법, 개인정보 보호법 등이 지정하는 공공기관으로서¹⁾ 교육부 지침²⁾에 근거해 매년 정보보호 수준을 진단하고 결과를 공개해야 한다. 대학의 정보보호 수준을 향상시키고 안전한 사이버 환경을 구현하기 위함이다.

○ 정보보호 수준진단은 ‘정보보안’ 영역과 ‘개인정보보호’ 영역으로 나뉜다. 정보보안 영역은 관리체계와 정보시스템 운영 등 70개 항목을 진단한다. 개인정보보호 영역은 개인정보보호 관련 28개 항목을 진단한다. 대학이 자체적으로 진단한 뒤, 교육부의 검증 및 현장 점검 등을 통해 진단 결과가 확정된다.

○ 진단결과는 우수(진단결과 80점 이상), 보통(70점 이상 ~ 80점 미만), 미흡(70점 미만), 미실시 네 단계로 나뉜다. 과학기술정보통신부가 관리하는 ISMS³⁾ 인증을 받은 경우 교육부 진단을 대체할 수 있다.

○ 대학알리미에 공시된 2022년 정보보호 수준진단 결과에 따르면 국·공·사립 일반대·교육대·산업대 193교 중 53교(27.5%)가 정보보안 또는 개인정보보호 영역에서 ‘미흡’ 평가를 받았다. 대학 네 곳 중 한 곳 이상이 취약한 보안 상태에 있는 것이다.

○ 정보보안 영역 진단 결과를 보면 42교(21.8%)가 미흡 평가를 받았다. 149교(77.2%)는 보통 이상의 등급을 받았다.

 ○ 개인정보보호 영역에서는 33교(17.1%)가 미흡 평가를 받았다. 156교(80.8%)는 보통 이상의 등급을 받았다.

 ○ 22교(11.4%)는 정보보안과 개인정보보호 모두에서 미흡 등급을 받았다.

2. 사립대 보안이 더 취약

○ 정보보안 진단에서 미흡 등급을 받은 국·공립대는 1교(2.6%)에 불과하다. 반면 사립대는 41교(26.6%)가 미흡 등급을 받았다.

 ○ 개인정보보호 진단에서 미흡 등급을 받은 국·공립대는 4교(10.3%)다. 사립대는 29교(18.8%)가 미흡 등급을 받았다.

3. 부족한 정보보호 진단

○ 대다수 대학이 교육부 진단에서 보통 이상의 등급을 받았지만 이 평가를 실제로 신뢰하긴 어렵다. 교육부 진단에서 좋은 평가를 받았음에도 개인정보 유출 등 보안 사고가 발생한 대학이 있기 때문이다.

○ 경북대는 교육부 진단에서 정보보안 ‘우수’, 개인정보보호 ‘보통’ 등급을 받았다. 그러나 2022년 11월 경북대 교내 사이트가 해킹되어 학생들의 개인정보가 유출되었다.

○ 한동대는 교육부 진단에서 정보보안 ‘보통’, 개인정보보호 ‘우수’ 등급을 받았다. 그러나 2022년 해킹으로 개인정보가 유출되었고, 국무총리 소속 개인정보보호위원회 조사 결과 비밀번호 암호화 조치 등의 위반 사항이 확인돼 과태료를 부과받았다.

○ 국민대는 2022년 정보보안은 ‘ISMS(정보보호 관리체계) 인증’, 개인정보보호는 ‘우수’ 등급을 받았다. 그러나 2022년 8월 개인정보보호위원회 조사 결과 ‘데이터베이스 이관 작업시 업무상 과실로 이관 항목이 정상 지정되지 않아 개인정보가 타인에게 유출’된 사항이 확인돼 과태료를 부과받았다.

4. 대학 정보보호 개선 필요

○ 대학은 수많은 재학생과 졸업생 등의 개인정보를 수집·이용하는 공공기관이므로 정보보안 및 개인정보보호 의무를 철저하게 준수해야 한다.

○ 교육부는 내실있는 정보보호를 위해 수준진단 항목을 개선해야 한다. 특히 현재 수준진단 지표에 ‘웹 취약점 점검’ 등의 평가가 포함되어 있음에도 우수 등급을 받은 대학에서 해킹 등 개인정보 유출 사건이 발생했다. 점검할 취약점을 세분화해 가이드라인을 제시하는 등 해킹에 대비할 수 있도록 해야 한다.

1) 「전자정부법」제2조 및「개인정보 보호법 시행령」제2조

2) 「교육부 정보보안 기본지침」및「교육부 개인정보 보호지침」

3) ISMS : Information Security Management System으로 정보통신망의 안전성·신뢰성 확보를 위하여 운영하고 있는 관리·기술·물리적 보호조치를 포함한 종합적 관리체계