학교 사이버 보안, 학생 보호는 가능한가

기사 제공처 : 아이티인사이트 / 등록기자: 최현웅 기자 [기자에게 문의하기] /

해당 기사에 관련하여 문의하기에 남겨주시면 "최현웅"기자에게 전송됩니다

이름

연락처

- -

이메일

호주 사례가 던지는 경고: 학교의 디지털 보안 현황

디지털 전환이 교육의 필수적인 부분으로 자리 잡은 오늘날, 학교라는 공간조차 해커들의 표적이 될 수 있다는 소식은 결코 예사롭지 않습니다. 많은 학부모들이 자녀 학교의 온라인 학습 시스템이나 전산망에 대해 막연한 불안을 느끼고 있지만, 구체적으로 어떤 위험이 존재하는지, 또 어떻게 대비해야 하는지에 대한 정보는 부족한 실정입니다.

최근 호주 빅토리아주에서 발생한 학교 데이터 유출 사고는 이러한 우려가 단순한 기우가 아님을 보여주는 사례입니다. 호주 빅토리아주의 정부 학교들에서 발생한 이번 사이버 사고는 현재와 과거의 학생 정보를 포함한 데이터베이스가 외부의 제3자에 의해 무단으로 접근당했다는 점에서 충격적입니다. 빅토리아주 정부 공식 웹사이트(vic.gov.au)를 통해 발표된 내용에 따르면, 교육부 데이터베이스에서 유출된 자료에는 학생 이름, 교육부에서 발급한 이메일 주소, 암호화된 비밀번호(사용하는 경우), 학교 이름, 그리고 학년 수준 등이 포함되어 있습니다.

특히 주목할 점은 이번 유출이 현재 재학 중인 학생뿐만 아니라 과거 학생 계정까지 영향을 미쳤다는 사실입니다.

활성 상태와 비활성 상태의 계정 모두가 침해 대상이 되었다는 것은 시스템 전반에 걸친 보안 취약점이 존재했음을 시사합니다. 다행히 비밀번호는 암호화된 상태로 저장되어 있었다는 점은 피해를 일부 제한할 수 있는 요소입니다.

암호화된 비밀번호는 해커가 즉시 사용할 수 없으며, 해독에 상당한 시간과 기술적 노력이 필요하기 때문입니다. 그러나 학생 이름, 이메일 주소, 학교 정보 등만으로도 피싱 공격이나 스피어 피싱(특정 개인을 겨냥한 정교한 피싱)의 기반 자료로 활용될 수 있다는 점에서 위험성은 여전히 존재합니다.

이 사건은 학교라는 기관이 지닌 디지털 보안의 허점을 드러내며 우리에게 커다란 숙제를 던지고 있습니다. 교육 기관은 전통적으로 민간 기업이나 금융기관에 비해 사이버 보안에 대한 투자와 관심이 상대적으로 낮았던 것이 사실입니다. 하지만 최근 몇 년간 교육 현장의 디지털화가 급속도로 진행되면서 학교가 보유한 개인정보의 양과 민감도가 크게 증가했고, 이는 해커들에게 매력적인 표적이 되고 있습니다.

그렇다면 이는 한국에 어떤 교훈을 주는가. 한국의 학교들은 과연 이 같은 사이버 공격에 안전한가. 지난 몇 년간 한국의 교육 현장도 급격한 디지털화 속에서 다수의 온라인 시스템을 도입했습니다.

전자 출결 시스템, 클라우드 기반 학습 플랫폼, 실시간 온라인 수업, 학생 생활기록부 전산화, 급식 관리 시스템 등 다양한 디지털 도구들은 행정 효율성을 높이고 교육의 질을 개선하는 데 기여하고 있습니다. 그러나 이러한 시스템들은 동시에 개인정보 유출과 같은 새로운 위협에 직면할 가능성도 높입니다. 한국의 교육 정보화 수준은 세계적으로도 높은 편에 속하지만, 그만큼 보안 위협에 노출될 가능성도 큽니다.

특히 코로나19 팬데믹 이후 온라인 교육이 급속히 확산되면서 교사와 학생들이 다양한 디지털 플랫폼을 사용하게 되었고, 이 과정에서 보안 교육이나 안전 조치가 충분히 마련되지 않은 채 시스템이 도입된 경우도 많았습니다. 초중고 학교에서도 유사한 위협이 존재하지 않는다고 장담할 수 없는 상황입니다.

사이버 보안의 허점을 파고드는 해커들의 수법은 갈수록 정교해지고 있습니다. 피싱(phishing)을 통해 학생과 교사의 로그인 정보를 탈취하는 방식은 가장 흔한 공격 유형 중 하나입니다. 예를 들어, 학교나 교육청을 사칭한 이메일을 발송하여 비밀번호 재설정을 유도하거나, 가짜 학습 플랫폼 로그인 페이지로 유인하는 수법이 사용됩니다.

또한 랜섬웨어 공격을 통해 학교 서버를 직접 공격하여 데이터를 암호화하고 금전을 요구하거나, 데이터를 대량으로 빼내는 방식도 점점 증가하고 있습니다.

한국 교육 기관의 보안 현실, 우리는 안전한가

호주 사례에서처럼 과거 학생들의 정보까지 유출되는 경우, 이 데이터는 다크 웹이나 블랙 마켓에서 거래되어 추가적인 신원 도용(identity theft)에 악용될 가능성도 큽니다. 졸업한 학생들은 자신의 학교 계정이 여전히 활성 상태인지조차 알지 못하는 경우가 많아, 계정 관리의 사각지대가 발생하기 쉽습니다. 또한 어린 학생들의 정보는 신용 기록이 없어 장기간 신원 도용이 발각되지 않을 수 있다는 점에서 더욱 위험합니다.

학교의 디지털 보안 문제를 해결하기 위해서는 다층적인 접근이 필요합니다. 기술적 측면에서는 주요 전산 시스템의 암호화 조치, 정기적인 보안 점검, 관리자 계정에 대한 다중 인증(Multi-Factor Authentication) 적용, 네트워크 분리, 침입 탐지 시스템 구축 등이 필요합니다.

특히 비밀번호는 반드시 암호화하여 저장해야 하며, 가능하다면 해시 함수와 솔트(salt)를 적용하여 역추적을 어렵게 만들어야 합니다. 그러나 이러한 기술적 조치들이 실제로 일선 학교에 얼마나 잘 적용되고 있는지는 의문입니다.

특히 예산과 전문 인력이 부족한 일부 지역 학교나 소규모 학교에서는 보안 시스템이 여전히 형식에 그치고 있는 경우도 있습니다. 정보보호 담당자가 별도로 배치되지 않고 일반 교사나 행정직원이 겸직하는 경우, 전문성 부족으로 인해 보안 위협을 제대로 인지하거나 대응하지 못할 수 있습니다. 일각에서는 "모든 위협을 막는 건 불가능하다"는 의견도 제시됩니다.

맞는 말입니다. 보안은 마치 댐을 쌓는 것과 같아서 모든 균열을 막는 것은 현실적으로 어렵습니다.

사이버 보안 전문가들이 지적하듯, 중요한 것은 사고가 발생했을 때 빠르게 탐지하고 대응하며 피해를 최소화하는 시스템을 갖추는 것입니다. 이를 위해서는 사고 대응 계획(Incident Response Plan)을 사전에 마련하고, 정기적인 모의 훈련을 실시하며, 백업 시스템을 구축하여 데이터 손실을 방지해야 합니다.

기술적 솔루션 못지않게 중요한 것은 사람의 역할입니다. 학생과 교사, 학부모들이 협력하여 보안 의식을 높이고, 디지털 환경에서의 안전한 사용자 습관을 형성하는 것이 근본적인 해결책입니다.

예를 들어, 강력한 비밀번호 사용하기, 의심스러운 이메일이나 링크 클릭하지 않기, 공공 와이파이에서 민감한 정보 입력 피하기, 정기적으로 비밀번호 변경하기 등의 기본적인 보안 수칙을 교육하고 실천하는 것이 필요합니다. 디지털 리터러시 교육의 일환으로 사이버 보안 교육을 정규 교육과정에 포함시키는 것도 고려해볼 만합니다. 학부모들 역시 자녀의 디지털 활동에 관심을 가지고, 학교에서 사용하는 온라인 플랫폼의 보안 수준을 확인하며, 개인정보 유출 사고 발생 시 어떻게 대응해야 하는지 미리 알아두는 것이 중요합니다.

호주 빅토리아주 사례에서 교육부는 학생들과 학부모들에게 잠재적인 피싱 시도나 다른 유형의 사이버 공격에 대비하여 주의를 기울일 것을 당부했습니다. 이는 사고 발생 후 2차 피해를 막기 위한 중요한 조치입니다.

안전한 미래를 위해 무엇을 준비해야 할까

다시 말해 학교라는 작은 사회에서도 구성원의 집단적인 노력이 필수적이라는 뜻입니다. 교육청과 학교 행정가들은 보안 시스템 구축과 유지에 필요한 예산을 확보하고, 전문 인력을 배치하며, 정기적인 보안 점검을 실시해야 합니다.

교사들은 디지털 도구를 사용할 때 보안 수칙을 준수하고, 학생들에게 올바른 사용법을 교육해야 합니다. 학생들은 자신의 계정 정보를 안전하게 관리하고, 의심스러운 활동을 발견했을 때 즉시 보고해야 합니다.

학부모들은 학교의 보안 정책에 관심을 가지고, 가정에서도 자녀의 디지털 안전 교육을 지속해야 합니다. 하지만 이러한 접근에도 불구하고, "학교는 아이들이 가장 안전해야 할 공간이다"라는 기본 원칙에서 이탈해서는 안 됩니다. 물리적 공간에서의 안전만큼이나 디지털 공간에서의 안전도 학교의 기본적인 책임입니다.

특히 유출된 정보가 학생들에게 실질적인 피해로 이어질 경우, 이는 단순한 기술적 문제를 넘어 인권과 도덕적 책임에 관한 문제로 확대될 수 있습니다. 어린 학생들은 자신의 정보가 어떻게 사용되고 보호되는지에 대해 충분히 이해하거나 스스로를 보호할 능력이 제한적이기 때문에, 교육 기관의 책임은 더욱 무겁습니다. 우리가 디지털 기술의 이점에 취해 있을 동안, 가장 취약한 이웃인 학생들의 정보를 어떻게 보호해야 할지에 대한 논의는 부족했던 것은 아닌지 성찰이 필요합니다.

디지털 전환은 거스를 수 없는 흐름이지만, 그 과정에서 안전과 프라이버시가 희생되어서는 안 됩니다. 효율성과 편리함만큼이나 보안과 윤리를 중요하게 고려하는 균형 잡힌 접근이 필요합니다.

이제는 질문을 던질 때입니다. 우리는 아이들의 미래를 책임지는 공간에서 얼마나 안전한 디지털 환경을 제공하고 있는가? 그리고 한국의 학교 시스템은 이번 호주 사례에서 무엇을 배울 수 있을 것인가?

호주의 경우 사고 발생 후 신속하게 공식 정부 웹사이트를 통해 사실을 공개하고, 영향받은 당사자들에게 주의를 당부한 점은 투명한 대응의 좋은 예입니다. 한국의 교육 기관들도 유사한 사고 발생 시 은폐하거나 축소하기보다는 신속하고 투명하게 공개하고, 피해 최소화를 위한 조치를 취하는 문화를 정착시켜야 합니다. 그 답을 찾기 위해서는 모두의 관심과 노력이 필요합니다.

정부는 교육 기관의 사이버 보안 강화를 위한 정책적, 재정적 지원을 확대해야 하며, 학교는 보안을 우선순위에 두고 시스템을 구축하고 운영해야 합니다. 더 나아가 기술적 안전망 구축에 머물지 않고, 윤리적이고 책임감 있는 사회적 대안을 함께 마련해야 할 시점입니다.

학생 데이터의 수집과 보관을 최소화하는 원칙, 불필요한 정보는 안전하게 폐기하는 절차, 개인정보 처리에 대한 투명한 공개와 동의 절차 강화 등 제도적 개선도 병행되어야 합니다. 호주 빅토리아주의 사례는 먼 나라의 이야기가 아니라, 우리 학교에서도 언제든 발생할 수 있는 현실적인 위협임을 일깨워줍니다.

윤소영 기자

[참고자료]

vertexaisearch.cloud.google.com