대교연 연구

최신연구

INSTITUTE FOR ADVANCED ENGINEERING

대학 정보보호 진단 결과

작성자 : 대학교육연구소 작성일 : 2023.05.01 조회수 :1,723

8af8a5c30d07d526750edf45de59b6a2.png
 


1. 대학 27.5%가 정보보호 미흡

 

대학은 전자정부법, 개인정보 보호법 등이 지정하는 공공기관으로서1) 교육부 지침2)에 근거해 매년 정보보호 수준을 진단하고 결과를 공개해야 한다. 대학의 정보보호 수준을 향상시키고 안전한 사이버 환경을 구현하기 위함이다.

 

정보보호 수준진단은 정보보안영역과 개인정보보호영역으로 나뉜다. 정보보안 영역은 관리체계와 정보시스템 운영 등 70개 항목을 진단한다. 개인정보보호 영역은 개인정보보호 관련 28개 항목을 진단한다. 대학이 자체적으로 진단한 뒤, 교육부의 검증 및 현장 점검 등을 통해 진단 결과가 확정된다.

 

진단결과는 우수(진단결과 80점 이상), 보통(70점 이상 ~ 80점 미만), 미흡(70점 미만), 미실시 네 단계로 나뉜다. 과학기술정보통신부가 관리하는 ISMS3) 인증을 받은 경우 교육부 진단을 대체할 수 있다.

 

대학알리미에 공시된 2022년 정보보호 수준진단 결과에 따르면 국··사립 일반대·교육대·산업대 193교 중 53(27.5%)가 정보보안 또는 개인정보보호 영역에서 미흡평가를 받았다. 대학 네 곳 중 한 곳 이상이 취약한 보안 상태에 있는 것이다.

 

정보보안 영역 진단 결과를 보면 42(21.8%)가 미흡 평가를 받았다. 149(77.2%)는 보통 이상의 등급을 받았다.

 

 

12022정보보안수준진단 결과

(단위 : )

구분

대학

비율

ISMS 인증

30

15.5%

우수

73

37.8%

보통

46

23.8%

미흡

42

21.8%

미실시

2

1.0%

1) 대상 : ··사립 일반대·산업대·교육대 193

2) ISMS(정보보호 관리체계) 인증 대학에 ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 대학 1교 포함

자료 : 대학알리미

 

 개인정보보호 영역에서는 33(17.1%)가 미흡 평가를 받았다. 156(80.8%)는 보통 이상의 등급을 받았다.

 

 

22022개인정보보호수준진단 결과

(단위 : )

구분

대학

비율

ISMS-P 인증

1

0.5%

우수

122

63.2%

보통

33

17.1%

미흡

33

17.1%

미실시

4

2.1%

1) 대상 : ··사립 일반대·산업대·교육대 193

자료 : 대학알리미

 

 22(11.4%)는 정보보안과 개인정보보호 모두에서 미흡 등급을 받았다.

 


2. 사립대 보안이 더 취약

 

정보보안 진단에서 미흡 등급을 받은 국·공립대는 1(2.6%)에 불과하다. 반면 사립대는 41(26.6%)가 미흡 등급을 받았다.

 

 

32022년 설립별 정보보안수준진단 결과

(단위 : )

구분

·공립대

사립대

ISMS 인증

2

28

우수

32

41

보통

4

42

미흡

1

41

미실시

0

2

1) 대상 : ··사립 일반대·산업대·교육대 193

2) ISMS(정보보호 관리체계) 인증 대학에 ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 대학 1교 포함

자료 : 대학알리미

 

 개인정보보호 진단에서 미흡 등급을 받은 국·공립대는 4(10.3%). 사립대는 29(18.8%)가 미흡 등급을 받았다.

 

 

42022년 설립별 개인정보보호수준진단 결과

(단위 : )

구분

·공립대

사립대

ISMS-P 인증

0

1

우수

27

95

보통

7

26

미흡

4

29

미실시

1

3

1) 대상 : ··사립 일반대·산업대·교육대 193

자료 : 대학알리미

 


 

3. 부족한 정보보호 진단

 

대다수 대학이 교육부 진단에서 보통 이상의 등급을 받았지만 이 평가를 실제로 신뢰하긴 어렵다. 교육부 진단에서 좋은 평가를 받았음에도 개인정보 유출 등 보안 사고가 발생한 대학이 있기 때문이다.

 

경북대는 교육부 진단에서 정보보안 우수’, 개인정보보호 보통등급을 받았다. 그러나 202211월 경북대 교내 사이트가 해킹되어 학생들의 개인정보가 유출되었다.

 

한동대는 교육부 진단에서 정보보안 보통’, 개인정보보호 우수등급을 받았다. 그러나 2022년 해킹으로 개인정보가 유출되었고, 국무총리 소속 개인정보보호위원회 조사 결과 비밀번호 암호화 조치 등의 위반 사항이 확인돼 과태료를 부과받았다.

 

국민대는 2022년 정보보안은 ‘ISMS(정보보호 관리체계) 인증’, 개인정보보호는 우수등급을 받았다. 그러나 20228월 개인정보보호위원회 조사 결과 데이터베이스 이관 작업시 업무상 과실로 이관 항목이 정상 지정되지 않아 개인정보가 타인에게 유출된 사항이 확인돼 과태료를 부과받았다.

 


4. 대학 정보보호 개선 필요

 

대학은 수많은 재학생과 졸업생 등의 개인정보를 수집·이용하는 공공기관이므로 정보보안 및 개인정보보호 의무를 철저하게 준수해야 한다.

 

교육부는 내실있는 정보보호를 위해 수준진단 항목을 개선해야 한다. 특히 현재 수준진단 지표에 웹 취약점 점검등의 평가가 포함되어 있음에도 우수 등급을 받은 대학에서 해킹 등 개인정보 유출 사건이 발생했다. 점검할 취약점을 세분화해 가이드라인을 제시하는 등 해킹에 대비할 수 있도록 해야 한다.


1) 「전자정부법」제2조 및「개인정보 보호법 시행령」제2조

2) 「교육부 정보보안 기본지침」및「교육부 개인정보 보호지침」

3) ISMS : Information Security Management System으로 정보통신망의 안전성·신뢰성 확보를 위하여 운영하고 있는 관리·기술·물리적 보호조치를 포함한 종합적 관리체계 

 

 


이름
비밀번호
captcha
 자동등록방지 숫자입력