- 작성자
- 운영자
- 제목
- 보안문제를 중심으로 바라본 NEIS의 문제점
- 카테고리1 :
- 문서자료
- 작성일
- 2003.04.09 10:33:28
- 조회수
- 27,705
- 추천
- 0
- 문서 주소
- http://hosting.jinbo.net/webbs/view.php?board=pds&id=63
보안문제를 중심으로 바라본 NEIS의 문제점
진보네트워크센터 기술국장 황 규 만
일반적으로 정보화라는 삶의 편리함을 추구하기 위해 개인정보를 일정정도 공개하는 것은 필요악이라고 여겨진다. 하지만 이 문제는 단순히 필요악으로 치부할 것이 아니라 신중하게 생각해야할 문제이다. 왜냐하면 합법적이든 불법적이든 수집된 개인정보가 불법으로 유출되어 개인의 삶을 파괴할 수도 있으며, 언제든지 정부나 기업에 의해 개인이 통제되고 관리될 위험을 내재하고 있고 실제로 그렇고 사용되고 있기 때문이다. 보안 시스템의 구축은 피해를 예방하기 위한 필수적이고 최소한의 노력일 뿐이다. 하지만 애석하게도 현재의 보안기술은 현실적으로 100% 신뢰할 수 없다. 역사 이래로 보안기술이 해킹기술을 제압한 사례가 없다. 해킹이든 보안이든 그것을 행하는 주체는 역시 사람이고, 기술의 속성상 보안은 해킹을 따라갈 수밖에 없기 때문이다.
흔히 보안이라고 하면 기술적인 면만을 생각하지만, 전적으로 그렇지 않다. 한 시스템의 보안을 책임지고 데이터를 관리·운영하는 주체 역시 사람이다. 따라서 내부자에 의한 배반 및 권력 감시의 문제 등 여러 사회·문화적 맥락을 고려하지 않으면 안되며, 이런 문제를 기술적으로 통제할 수 있다는 발상은 기술중심적 발상의 한계를 스스로 드러내는 것뿐이다.
이런 위험에도 불구하고 삶의 질을 높이기 위해 어떠한 정보를 제공할 것인가 하는 것은 전적으로 개인과 사회의 선택이다. 만일 개인정보의 수집이 필요하다면 당연히 사회구성원과 해당 시스템의 구성원의 동의가 가장 필수적이다. NEIS에 의해 수집되는 정보는 그 내용이 치명적이다. 주소, 연락처, 개인E-Mail, 또는 계좌번호 정보는 유출되어도 사실 바꾸거나 보상받으면 그만이다. 하지만 NEIS에 의해 대규모로 수집될 학생들의 성장기와 관련된 개인 고유의 정보는 개인이 선택할 수도 보상되지도 않는 치명적인 정보들이다. 따라서 정보 유출에 따른 위험도는 일반적인 정보의 위험도보다 훨씬 치명적일 수 있다. 따라서 네트워크와 데이터베이스 구축, 그리고 보안시스템을 구축함에 있어 이런 요소를 보다 신중히 고려되어야 한다.
따라서 교육행정망, 더 나아가서는 전자정부 시스템을 어떤 시스템으로 운용하느냐는 단순히 어느 시스템이 우월하냐의 문제 이전에 "어떤 정보를 다룰 것인가, 수집과 관리의 주체는 누구이며, 또 역으로 이 수집과 관리의 주체를 어떻게 감시할 수 있는가" 등의 사회적 합의가 전제되지 않으면 안 된다. 보안문제는 이런 사회적 합의 속에서 개인들의 정보를 최대한 보호하기 위한 당연한 과제이지. 사안의 핵심적인 본질이 아닌 것이다.
아래 글은 일반적으로 보안시스템이 왜 불안전한지. 또 그것의 한계는 무엇인지에 대한 글이며, 구체적으로는 NEIS시스템이 안고 있는 취약점과 더불어 현재 일선 학교보안의 취약점에 대한 소견이다.
보안시스템의 한계
- 역사이래 보안기술이 해킹기술을 제압한 적이 없다.
보안 문제를 기술적인 시스템, 또는 국가 공인 여부만을 고려해서는 안된다. 이런 시스템은 상대적으로 보다 높은 보안레벨과 안정성을 규정하는 역할을 할지는 몰라도 100%의 안전성을 보장하는 보증수표는 아니기 때문이다.
우선, 100% 완벽한 보안은 존재하지 않는다. 비록 짧은 역사지만 컴퓨터와 네트워크가 인류 역사에 도입된 이래로 아직 보안기술이 해킹기술을 제압한 적은 없다. 아무리 훌륭한 시스템과 인적자원을 보유하고 있다고 하더라도 안전하지 않다. 최근에 보도된 해킹 관련 기사들도 이런 점을 여실히 보여준다.
사례 1.
'희대의 해커'인 케빈 미트닉이 해킹을 당했다.
최근 '인터넷 금지령'이 풀린 미트닉이 설립한 보안 컨설팅 회사 웹사이트에 신원을 알 수 없는 해커가 침입했다고 AP통신이 10일(현지 시간) 전했다.
하지만 이번 해킹 사건에 대해 미트닉은 "유쾌한 경험"이란 반응을 보인 것으로 알려졌다. 미트닉은 최근 두 차례에 걸쳐 해킹을 당했다고 밝혔다.
자신을 '버그베어(BugBear)'라고 밝힌 이 해커는 지난 1월 30일 미트닉 회사 웹사이트에 "미트닉씨, 자유를 되찾게 된 것을 축하합니다."란 메시지를 담은 페이지를 남겼다. 그는 또 "당신의 박스에 침입하는 것은 재미있고도 수월했다"고 덧붙였다.
또 다른 해킹 사건은 지난 9일 발생했다. 텍사스의 한 해커가 미트닉에게 보안 간부로 채용해 줄 것을 부탁하면서 회사 웹사이트를 해킹한 것.
미트닉은 이번 해킹 사건이 별다른 재정적인 손실을 끼치지 않았기 때문에 미연방수사국(FBI)과 접촉하지는 않았다고 밝혔다.
<김익현 기자 sin@inews24.com>
inews24 2003-02-11 15:00:07
사례 2.
미국에서 대규모 카드 해킹 사건이 발생했다.
다우존스에 따르면 마스터카드와 비자, 아메리칸익스프레스 등의 신용카드 계좌번호 800여만 개가 신용카드 거래 시스템 침입에 의해 해킹 당했다.
업체별로는 마스터카드인터네셔널의 경우 220여만 계좌가 피해를 보았으며 비자USA의 피해 계좌수도 340여만 개에 달하는 것으로 나타났다.
다우존스는 그러나 나머지 240여만 개의 피해 계좌의 운용 회사는 알려지지 않고 있으며 어느 신용카드 거래 시스템 운용업체가 해킹을 당했는지도 밝혀지지 않고 있다고 전했다.
아메리칸익스프레스는 정확한 피해 규모를 밝히지 않고 있으며 모건스탠리증권의 자회사로 역시 해킹을 당한 디스커버는 일체의 언급을 삼가고 있는 상황이다. 해킹 피해를 본 카드회사들은 그러나 해킹괸 카드들이 부정하게 사용된 사례는 아직 발견되지 않았다고 밝혔다.
이달 초 해킹 사실을 발견한 마스터카드는 현재 미영방수사국(FBI)등 수사 당국과 협력해 범인 색출 작업을 벌이고 있다.
<황도연기자 dyhwang@etnews.co.kr>
전자신문 2003-02-20 07:40:00
사례3.
미국 텍사스 주립대학은 데이터베이스 서버를 해킹당해 5만5천 명 이상의 학생 및 교직원 정보가 유출됐다고 지난 3월 5일 발표했다. 이 대학 IT 부총장인 다니엘 A, 업디그로브는 성명서에서 "지난 2일 터진 이번 해킹은 무작위로 생성된 수백만 개의 사회보장번호를 이용해 데이터베이스에 정보를 요구했으며 이중 5만5200여개의 번호가 일치해 해당 정보가 유출됐다"고 밝혔다. 이번 공격으로 사회보장번호 이외에도 이름, 주소, 이메일주소 등의 개인정보가 유출됐다.
업디그로브는 "연방검찰청, 정보국 등 수사기관이 2일 저녁부터 범인 파악에 나서는 한편 도난 당한 정보를 되찾으려고 애쓰고 있다."면서 "해커가 빼낸 정보를 다시 외부로 넘겼다는 증거는 아직 없다."고 전했다.
이 사건 이전에도 해킹 사건이 몇 차례 있었다. ... 중략 ....
앞선 1월에는 캔사스 주립대가 해킹 당해 1400여명의 유학생 정보가 유출된 바 있다. 이번 사건에 대해 텍사스 주립대, 미 정보국과 법무부 등은 자세한 언급을 피하고 있지만, 정보유출 당사자들에게 뭐라고 통보해야 할지 고민중인 텍사스 주립대학은 "학생들과 성적과 건강 기록은 노출되지 않았다"고 애써 변명했다.
이런 예들이, 보안시스템이 특별히 취약해서 발생했다고는 생각하지 않으며, 몇 가지 사례만 나열했지만 이와 유사한 보안사고는 비일비재한 것이 현실이며 정보화 사회의 한 단면이다. 현실적으로 완벽한 보안시스템은 가능하지 않다. 따라서 네트워크로 물려있는 모든 시스템은 언제나 공격을 당할 위험이 상주한다고 간주해야 한다.
NEIS 시스템의 보안 시스템.
기존에 각 학교에서 사용하던 C/S 시스템은 기본적으로 게이트웨이 방화벽 시스템이다. 이런 게이트웨이 방화벽 시스템은 그 동안 가장 많이 사용돼오던 시스템이긴 하지만 네트워크 레이어 이상에서 벌어지는 응용소프트웨어의 보안홀 버그에는 속수무책이고 점차 복잡해지는 네트워크에 제대로 동작하기 힘든 약점을 안고 있다. 반면에 NEIS는 기술적으로는 보안레벨이 보다 높다고 볼 수 있다. 네트워크 보안을 위해 방화벽 이외에 침입탐지시스템, 서버보안시스템을 추가하였고, 일부이긴 하지만 민감한 데이터에 대하여 암호화된 상태로 보관, 전송되도록 하였기 때문이다. 하지만 앞에서 언급했듯이 비록 보안 레벨이 높아졌다고는 하나 100% 완벽한 보안을 보장하진 못한다. 보안 시스템 역시 사람이 짜는 프로그램이기 때문에 버그가 없을 수 없다. 또한 현재 버그가 발견되지 않았다 하더라도 해커들의 노력 여하에 따라서 언제든지 새로운 버그가 발생할 가능성이 상존 하기 때문이다.
예를 들어 NEIS에서 침입탐지 시스템으로 채택된 SecureWorks나 Sniper도 약점이 없는 것은 아니다. SecureWorks의 경우 TCP/IP 프로토콜 자체의 취약성을 이용하여 이미 사용중인 사용자의 세션을 가로채는'Session Hijacking'과 같은 잠재적인 취약성은 여전히 존재하며, 'Sniper'의 경우에도 TCP/IP, 이더넷 기반에 한하여 정상적인 침입탐지 기능은 수행되지만, 이외의 프로토콜 또는 암호화된 패킷 등의 환경에서는 정상적인 침입탐지 기능을 보증할 수 없으며, Live Update 기능을 이용하여 최신 보안위반사건을 서버에서 인터넷을 통해 내려 받아 적용할 경우, 제품 재시동이 요구되어 일시적으로 제품 동작이 중단되는 것으로 알려져 있다. 결국에는 이 두 개의 침입탐지 시스템을 얼마나 적절하게 혼합하여 운영의 묘를 살릴 것인가가 관건일 것으로 보이기 때문에 관리자의 역량이 가장 중요한 요소로 떠오른다. 이는 경우에 따라서는 불가항력적인 요소로 작용할 가능성도 크다.
NEIS의 기본운영체제인 Solaris 8 제품군이 안전하다고 알려져 있지만, 정도의 차이는 있겠지만 아직 보안에 완벽한 OS는 탄생한 적 없다. 모든 OS는 아직도 개발중이다.
NEIS 시스템에서 채택한 데이터베이스 ORACLE 역시 보안문제가 전혀 없는 것은 아니다. 최근 2003년 2월에도 ORACLE사는 자사의 소프트웨어에 치명적인 보안결함 6개를 발견하여 패치 하였다.
가장 큰 문제는 일선 학교에서 사용하는 접속프로그램의 보안버그는 아직 엄밀하게 검증된 바 없다라는 점이다. 교육부에서 NEIS 시스템을 운영한다면 이 프로그램 앞길에는 지속적인 보안패치가 기다리고 있을 것이다.
내부자에 의한 피해
- 내부자에 의한 정보유출은 상대적으로 용이하고 피해규모는 커
흔히 '해킹' 하면 외부의 사이버테러리스트들을 떠올리지만, 최근 보안피해 보고서들을 보면 외부의 해커에 의한 피해보다는 내부자에 의한 피해가 더 많다. 최근 미국의 '시만텍사'에서 낸 2003년 보고서에 의하면 전체 보안피해에서 내부자에 의한 피해비율이 50%를 넘는다고 한다.
내부자에 의한 해킹사고는 사고 대응건수의 50% 이상을 차지
ο내부자 해킹에 대한 자체 탐지 적발 건수가 특히 높아 전체적으로 외부공격 건수를 능가
ο내부자에 의한 범죄가 상대적으로 용이한 반면 피해규모는 크다는 사실은 내부 위협에 대한 보호가 절대적으로 중요하다는 경고 표시
....
지난 몇 년 동안 시만택의 수많은 보안사고 조사 결과 내부자 위협은 외부 위협 못지 않게 심각. 실제로 시만택이 대응한 전체 사고의 50% 이상이 내부 직원에 의한 기업 자원의 불법 오용이었으며 내부자 공격에 의한 재정적 피해는 외부공격에 비해 월등히 높은 수치 기록.
이러한 사고의 가장 큰 문제점은 공격이 상대적으로 쉽다는 것으로 대부분의 공격자들(내부직원들)은 어떠한 시스템도 해킹할 필요가 없으며 이미 대상 시스템에 대한 접근 권한을 소유하고 있는 경우가 대부분.
내부자에 의한 사고는 간과되기 쉽고 본질적으로 적발하기 어려운 면이 있으나 이러한 사고의 결과는 조직에게 엄청난 금전적 피해를 유발
- Symantec Internet Security Threat Report - Attack Trends for Q3 and Q4 2002
(2002년 하반기 미 인터넷 보안 위협 보고서) 중에서 발췌
또한 국내 금융기관의 침해 사고의 80% 이상이 직·간접적으로 내부자가 관련되어 있다는 보고도 있었다.(1999년 4월. 금융결재원) 가까이는 지난 1월 전국적인 은행 현금인출 사건에서 전 은행직원이 고객정보를 빼돌렸다는 수사결과 발표는 내부자 유출문제가 얼마나 심각한 사회문제를 야기하는지 잘 보여준다.
네트워크에 접근하는 비권한 액세스를 막아주는 방화벽 또는 데이터베이스 보안 시스템은 내부적인 침입 즉, 이미 권한이 부여된 직원이 해킹을 한다거나 직원 아이디인양 속일 경우에는 무용지물이 된다. 접속 로그 및 침입탐지 시스템은 내부자가 침입했을 때에는 침입 당한 후 통보만 줄뿐 예방책은 될 수 없다. 물론 C/S도 이런 문제에서 자유롭지는 않다. 하지만 더욱 우려스러운 것은 NEIS 시스템의 정보의 과다한 집적도이다. 고도로 집산된 데이터베이스는 기술적으로 상호 전환 및 공유, 그리고 전송이 용이하다. 그리고 데이터를 관리하는 주체에 의해 합법을 가장한 정보 거래나 정부에 대한 비공개적인 정보제공은 외부에 공개되지 않는다. 이런 것은 보안문제로서 해소되지 않는다. 처벌되지 않는 내부자 정보유출이기 때문이다.
과연 이런 문제에 정부가 책임질 수 있는지 또 책임질 주체일 수 있는지 의심스럽다. 설사 책임진다고 하더라도 만일 정보가 대량으로 유출되었을 때, 과연 정부가 책임지고 관련자만을 처벌한다고 해결될 문제인지 생각해보아야 한다. 다시 한번 강조하지만 정말 커다란 문제는 유출될 학생들의 개인정보가 선택가능하지 않으며, 한번 유출되면 피해당사자인 개인들에게 복구 불가능한 치명적인 피해를 줄 수 있다라는 점일 것이다. 따라서 수집과 관리의 주체는 절대 주요 국가기관이어서는 안 된다. 책임소재가 없어지고 오히려 전체 보안 시스템의 커다란 구멍이기 때문이다.
해킹이나 정보유출에 대한 위험도는 저장하고 있는 정보의 가치와 규모에 비례.
해킹이나 정보유출에 대한 위험도는 저장하고 있는 데이터베이스의 정보의 가치와 규모에 비례한다. 전통적으로 전력·에너지 사업과 금융서비스는 공격자들이 선호하는 영역으로 알려져 있다. 특히 금융서비스는 개인정보의 가치가 매우 높아 공격자들이 가장 선호하는 것으로 알려져 있다. 금융서비스는 금융전산망에 의해 전세계적으로 통합 관리되고, 소수의 데이터만 해킹하더라도 그 피해가 막대할 수 있다.
NEIS의 경우에도 개인정보의 가치가 매우 높고 양이 막대하다고 볼 수 있다. 교육부의 수정안대로 민감한 개인정보를 제외하고 시스템을 구축한다 하더라도, 언제라도 필드는 추가될 수 있고 그런 정보들이 전국적으로 집산된다면 상업적 이해나 핵티비즘같은 정치적 이유에 의해서 공격의 대상으로 떠오를 가능성이 많다.
지난 인터넷 대란의 원인에 대하여 의견이 분분하고 여러 원인이 종합적으로 작용한 것이겠지만, 사태가 인터넷마비로까지 확장된 데에는 한국통신의 혜화전화국에 집중되어 있는 국내 도메인네임 운영시스템도 한 몫 했다고 할 수 있다. 예를 들어 바이러스나 DoS공격 같은 네트워크 공격에 의해 한 교육청의 서버가 접속불능상태에 빠질 경우 해당 시·도의 교육업무가 일정기간동안 마비될 수도 있다.
데이터를 집중해서 관리하면 효율성과 경제성은 높아지겠지만 그 위험도 역시 비례해서 높아지고 만일 피해가 발생했을 때 그 사회적 파장은 예상할 수 없을 정도로 막대할 수 있다. 기술적인 보안의 문제에 있어 분산이냐, 집중이냐는 크게 중요하지 않을 수도 있다. 문제는 애써 위험도를 증가시킬 이유가 있는지 의문이다.
보안 시스템으로 해결되지 않는 정보주체의 정보통제권리의 문제.
보안 시스템에 있어 내부자에 의한 정보유출 문제도 심각하지만, 보안시스템이 감당하지 않는 기업차원에서 이루어지는 불법적인 거래나 정부기관에 의한 은밀한 접근과 활용 문제는 보안 시스템으로 해소되지 않는다.
정보를 제공하는 주체는 학생과 학부모, 그리고 교사이다. 이 주체들이 설사 자신의 정보제공을 동의하였다 하더라도 자신이 동의한 용도 이외의 사용에 대하여 통제할 수 있는 시스템이 보완되지 않으면, 결국에는 고도의 감시시스템이라는 말과 다를 바 없다.
한국사회 특유의 입시중심 사회에서 20여 년을 대학입시만을 위해 구조화된 교육시스템 속에서 살아온 학생들의 누적된 건강과 성적 정보는 우리 아이들 삶에 대한 계량화된 총체이고 그들을 들여다보는 중요한 소통창구이다. 이런 민감한 정보를 대규모로 국가가 수집하여서는 안된다. 정부는 자료의 원본을 가지고 있을 권리가 없으며, 단지 연구와 정책 생산을 위한 거시적인 통계자료만 수집하면 된다.
정보를 제공하는 개인은 정보제공 여부에 대한 권리뿐만 아니라, 원할 때는 언제든지 정당한 절차에 따라 조회가능하고 수정요구를 할 수 있어야 하며, 또 자신의 정보가 사용되는 용도를 감시할 권리가 보장되어야 한다. 하지만 대규모로 집적된 데이터에 대하여 그 많은 대상자들에게 일일이 동의 받는 것은 현실적으로 불가능하며, 오히려 일선 학교의 학교장과 교사에게 일임하는 것이 더욱 효율적이고 정당하다.
개인/학교 보안 문제.
- 일선 학교의 전산망과 개인 PC의 보안수준과 보안의식이 획기적으로 개선되지 않는 한 공격의 위험은 여전히 상존.
기존에 사용하던 C/S시스템은 여러모로 문제가 많은 것으로 알려지고 있다. 하지만 설사 NEIS 시스템이 도입되더라도 여전히 중요한 문제들이 남을 것이다. 각 학교마다 현재 구축하고 있는 전산망의 보안은 여전히 문제이기 때문이다. 국정원에서 제공하는 「2001년도 국가·공공기관 해킹사고 현황 및 통계 자료」를 보면 기관별 사고건수에 있어 교육기관의 비율이 65%를 차지했던 것으로 나타났다.
학교내의 전산망과 선생님/학생들이 사용하는 교육용 PC의 보안문제는 중앙집중식의 NEIS 시스템이냐 개별학교 중심의 C/S 시스템이냐 와는 별개의 문제다. 이전 C/S 시스템에서는 이런 문제들이 통합되어 있었지만, NEIS 시스템이 시행되면 곧바로 별개의 문제로 나타날 것이고 추가적인 투자와 보완이 불가피하다.
데이터를 보관하고 있는 서버의 보안이 일차적으로 중요하기는 하지만, 그 서버에 정보를 제공하고 이용하는 이용자(교사와 학부모)의 개인보안이 보완되지 않으면 여전히 위험이 상존한다. 기존 C/S 시스템은 아이디,비밀번호만을 통해 서버에 인증하는 일반적인 시스템인데 비하여 NEIS는 PKI(공개키 기반의 보안 프로토콜)기반의 인증시스템을 도입하여 보안레벨이 보다 높아졌지만, 인증키는 복사가능하며 비밀번호는 여전히 '키보드로그'같은 해킹 기법에 의하여 수집 가능하다. 최근 조흥은행에서 제공하는 고객 PC 키보드 해킹방지 프로그램인 `시큐어 키 스트로크'와 같은 또 다른 대책이 없다면 백이면 백 다 뚫린다고 보아야 한다.
또한 현재 학교 내 전산망에서 사용하는 프락시 서버는 제대로 보안시스템이 갖추어지지 않으면 해커들의 밥이다. 프락시 서버는 해커들이 다른 시스템을 공격하기 위해 자신의 IP를 감추기 위한 경유지로 선호하는 시스템이기 때문이다. 전체 해킹피해 사례 중에서 해킹경유지로 사용된 비율은 80%를 넘는다.
현재 각급 학교에서 사용되는 컴퓨터는 프락시 서버 같은 일부를 제외하고는 전부 윈도우 계열이다. 최근에 발표되는 보안연구자료들에서 공통되고 일관된 경고중의 하나는 MS 윈도우 운영체제와 웹클라이언트인 '인터넷 익스플로어'의 취약성에 대한 것이다. 이런 약점을 보완하기 위해서는 각 PC의 사용주체인 선생님과 학부모 그리고 학생들이 윈도우에 대한 지속적인 패치 업그레이드를 해주어야 한다. 이런 것은 일선교사와 학생들의 보안의식과 역량의 높이지 않으면 해결할 수 없는 문제이다. 이것은 단순히 교육행정망과의 직접적인 관련 이외에도 교사들과 아이들이 정보화사회에서 보다 잘 적응하고 삶을 영위하기 위해 필수적으로 배양해야 하는 역량이기도 하다.
결론적으로 인증서 도입으로 해킹이 보다 어려워지고 보안레벨이 높아진 것은 사실이지만 일선 학교의 전산망과 개인 PC의 보안수준과 보안의식이 획기적으로 개선되지 않는 한 여전히 공격의 위험은 상존한다고 볼 수 있다.
인적 관리 시스템의 미비
시스템의 보안은, 장비의 문제 이외에도 관리자의 역량과 지속적인 관리가 무엇보다도 중요하다. 아무리 좋은 장비와 구성을 통해 안전한 보안 네트워크 디자인으로 구축해도 누군가는 관리를 해야하기 때문에 보안장비에 대한 투자만큼이나 조직 내부에서 인적자원의 보안 교육에 대한 투자 또한 필요하다. 교육부는 C/S의 보안 문제를 이유로 NEIS 시스템의 효율성을 이야기 하지만, C/S의 보안시스템이 문제가 있는 것은 C/S 시스템의 문제라기 보다는 고가의 장비에 대한 묻지마 구매 이후 사후 보안대책과 관리 인력 양성에 교육부가 공을 들이지 않았기 때문이다.
또한 교육행정망이 어떤 시스템에 의해 운용되든 앞에서 이야기한 바처럼 학교내의 보안문제를 배제된 체로 진행되어서는 안 된다. 전체 네트워크와 학교내의 보안의 수준을 총체적으로 높일 방안이 모색되어야 한다. 따라서 중앙에서 관리하는 데이터베이스에 대한 투자와 일선학교에 대한 교육을 분리하는 것보다, 현재 교육일선 현장에서 축적된 경험과 노하우를 바탕으로 문제점들을 차근차근 개선해나가는 노력이 더욱 중요하다고 사려된다.
결언
보안문제는 기술과 등치 되지 않는다. 첫째로 기술은 그것을 사용하는 주체와 사회관계속에서 구체적으로 발현되기 때문에 사회적 맥락 속에서 재해석되어야 그 본질과 한계를 파악할 수 있으며 역작용을 방지할 수 있다. 교육의 주체인 학생과 학부모의 정보는 대단히 민감하고 치명적인 정보들이다. 이 정보들을 여타의 다른 정보와 동급으로 취급하고 효율성과 경제성의 논리만을 앞세우는 것은 문제가 있다고 보여진다. 보안기술은 현실적으로 100% 신뢰할 수 없으며, 그와 연장선상에서 교육부가 추진하는 NEIS 시스템도 마찬가지로 100% 신뢰할 수 없다.
그런 상황에서 학생들의 민감한 개인정보가 다른 여타의 행정정보와 마찬가지로 취급되고 대규모로 수집되어야 하는지 의문이다. 따라서 보안문제를 검토하기에 앞서 수집되는 정보에 대한 보다 세밀한 구분과 사회적 합의가 선결되어야 하며, 인권을 침해할 요소가 많은 정보는 수집 대상에서 제외되어야 한다. 또한 필수 불가결하게 수집되어야 할 민감한 정보에 대하여 수집·관리하는 주체는 중앙행정기관이 아닌 일선 학교 그대로 유지하는 것이 바람직하다.
그리고 보안문제를 단순히 데이터가 저장되어 있는 서버만의 문제로 축소해서는 안 된다. 지난 1월 인터넷 대란 사태에서 보듯이 전반적인 네트워크의 보안이 선행되지 않으면 공염불에 불과하기 때문이다. 그리고 이를 위해서는 장비에 대한 투자 못지 않게 일선 현장에 대한 교육과 투자가 더 중요하다. 이런 여러 가지 것들을 고려하여 NEIS 같은 중앙집중형 시스템을 도입하는 것보다, 기존 시스템의 경험과 연속선상에서 전체 학교의 보안시스템을 보완하는 것이 더 바람직한 것으로 보여진다.
*이 글은 4월8일 국가인권위에서 열린 교육행정정보시스템 쟁점과 대안 청문회 발제문 입니다