교육부 진단서 좋은 평가받아도 유출 등 사고…“진단 항목 개선해야”
최근 통신사·소셜네트워크서비스(SNS)·시도교육청 등 개인정보 유출 사고가 끊이지 않는 가운데 대학 4곳 중 1곳이 해킹 등 개인정보 보호에 취약한 것으로 파악됐다. 심지어 교육부 진단에서 보통 이상의 등급을 받은 대학들이 지난해 개인정보 유출 등 사고가 있었던 것으로 나타났다.
1일 민간 대학 분야 연구기관인 대학교육연구소(대교연)가 대학알리미에 공시된 ‘2022년 정보보호 수준진단 결과’를 분석한 데 따르면, 국공립·사립·일반대·교육대·산업대 193교 중 53교(27.5%)가 정보보안 또는 개인정보보호 영역에서 ‘미흡’ 평가를 받았다. 대학 4곳 중 1곳 이상이 취약한 보안 상태에 있는 셈이다.
대학은 전자정부법·개인정보보호법 등이 지정하는 공공기관이다. 교육부 정보보안 기본지침 등에 근거해 매년 정보보호 수준을 진단하고 결과를 공개해야 한다. 정보보호 수준진단은 ‘정보보안’ 영역과 ‘개인정보보호’ 영역으로 나뉘며, 진단결과는 우수(진단결과 80점 이상), 보통(70점 이상~80점 미만), 미흡(70점 미만), 미실시 네 단계로 나뉜다. 다만, 과학기술정보통신부가 관리하는 ISMS 인증을 받은 경우 교육부 진단으로 대체할 수 있다.
영역별로 진단 결과를 살펴보면 ‘정보보안’에서는 42개 학교(21.8%)가 미흡 평가를 받았다. 149개교(77.2%)는 보통 이상의 등급을 받았다. ‘개인정보보호’ 영역에서는 33개 학교(17.1%)가 미흡 평가를 받았다. 156개교(80.8%)는 보통 이상의 등급을 받았다. 22곳(11.4%)은 ‘정보보안’과 ‘개인정보보호’ 모두에서 미흡 등급을 받았다.
특히 지난해는 대다수 대학이 교육부 진단에서 보통 이상의 등급을 받았음에도 일부 대학에서 개인정보 유출과 관련된 사고가 발생한 것으로 파악됐다.
경북지역 국립 A대학은 지난해 11월 교내 사이트가 해킹돼 학생들의 개인정보가 유출됐는데, 앞서 교육부 진단에서 정보보안 ‘우수’, 개인정보보호 ‘보통’ 등급을 받은 바 있다. 교육부 진단에서 정보보안 ‘보통’, 개인정보보호 ‘우수’ 등급을 받은 경북지역 사립 B대학도 지난해 해킹으로 개인정보가 유출됐고, 개인정보보호위원회 조사 결과 비밀번호 암호화 조치 등의 위반사항이 확인돼 과태료를 부과받았다. 개인정보보호 ‘우수’ 등급을 받은 서울지역 사립 C대학도 같은 조사결과 개인정보 유출 관련 사항이 확인돼 과태료를 부과 받았다.
대교연은 대학이 수많은 재학생 및 졸업생 등의 개인정보 등을 수집·이용하는 공공기관이기 때문에 정보보안과 개인정보보호 의무를 더욱 철저하게 준수해야 한다는 목소리다.
임은희 대교연 연구원은 “교육부가 내실 있는 정보보호를 위해 수준진단 항목을 개선해야 한다”면서 “특히 현재 수준진단 지표에 ‘웹 취약점 점검’ 등의 평가가 포함돼 있음에도 우수 등급을 받은 대학에서 해킹 등 개인정보 유출 사건이 발생했다. 점검할 취약점을 세분화해 가이드라인을 제시하는 등 해킹에 대비할 수 있도록 해야 한다”고 밝혔다.