개인정보보호 강화...온라인 대학증명서 발급시스템 개선 시급

학적데이터 외부업체 제공 시 제3자 정보제공 미동의 방치
온라인 대행서비스 발급시 학생 정보 유출 문제 제기
개인정보 데이터 무결성, 기밀성 보안SW 원천기술 검증 시급

등록 2024-01-03 오후 12:41:57

수정 2024-01-04 오전 12:23:49
가 가

[이데일리 김지완 기자] 개인정보보호 강화에 따라 온라인 대학증명서 발급시스템 개선이 시급하다는 지적이다.

개인정보 보호법 시행령 2차 개정안이 올 3월 시행을 앞두고 있다. 앞서 대통령 직속 개인정보보호위원회는 지난해 9월 법률 개정을 통하여 개인정보보호 책임을 강화하고 개인정보 유출에 대한 과징금의 규모와 범위를 확대했다.

(제공=레오나르도 AI)

문제는 최근 국내외 취업, 유학 등을 위해 발급받는 대학교 온라인 증명서가 개인 정보 침해 우려를 높이고 있다는 것이다.

보안업계 관계자는 “대학교들이 학생 정보보호와 보안에 무관심하다”면서 “온라인 대학증명서 발급 수요가 커지는 만큼 이를 뒷받침해야 할 개인정보 보안시스템은 따라가지 못하고 있다”고 지적했다.

이는 대학교들의 온라인 발급업무 시스템의 구조적 허점이 있기 때문이다.

현재 대학교 온라인 증명서 발급 시스템은 두 가지 방식이 있다. 첫째는 대학교에 전산실 내부에 온라인 증명발급 시스템을 자체 구축해 운영하는 방식이다. 또 다른 방식은 외부 대행업체에 업무를 아웃소싱해 대행사 내부에발급서버를 두고 증명서를 발급하는 방식이다.

자체 전산실을 구축하는 경우, 서버를 직접 보유하고 운영함으로써 학생과 졸업생 개인정보 외부 유출 가능성이 희박하다. 다시 말해, 학생 개인 정보 보호 및 보안관리가 구조적으로 안전하고 수월하다.

아웃소싱 온라인 학적 서비스, 대부분 제3자 동의규정 미준수

문제는 아웃소싱으로 온라인 학적서비스 발급하는 경우다.

보안업체 한 전문가는 “아웃소싱 학적서류 발급의 경우, 외부업체 서버에 의존함으로써 학사 정보가 외부에 유출될 가능성이 높다”면서 “또, 학교에서 아웃소싱 업체를 관리감독하기가 현실적으로 어렵다”고 지적했다. 이어 “이는 자체 시스템 구축에 비해 보안 관리가 상대적으로 취약할 수 있다”고 덧붙였다.

더 큰 문제는 국내 대학교들의 상당수가 아웃소싱으로 학적서류 발급 업무를 처리하고 있다는 점이다.

그는 “2000년대 초 개인정보보호법이 제정되기 전부터 서비스를 이용해 오고 있는 상황”이라며 “그 결과 보안관리 안전성 문제점을 인지하고 개선 노력을 하지 않았다”고 꼬집었다.

개인정보보호법에는 개인정보의 3자 정보 제공 시 의무 준칙 조항이 있다, 특정 기관, 단체 또는 기업 등이 특정인의 개인 정보를 제 3자 제공에는 반드시 특정인 당사자의 사전 동의와 승낙을 받아야 한다. 개인정보가 외부서버에 전달하는 경우 개인정보보호법에 따라 해당 재학생 또는 졸업생의 사전 승낙이나 동의를 구하는 절차를 반드시 거쳐야 한다는 얘기다.

보안업계 고위임원은 “현재 국내 대학교들의 대부분이 제3자 동의 규정을 지키지 않고 온라인 발급업무를 진행 중”이라며 “동의를 받는 경우에도, 증명서 발급을 전제로 동의를 구하는 형식을 취하고 있다. 이는 학생정보에 대한 보안 취약성 문제 소지가 크다”고 목소리를 높였다. 이어 “외부업체 서버를 이용하는 경우 최종 발급된 증명서의 원본을 업체서버에 보관하게 돼 원본검증 또한 외부업체 서버에서 서비스가 이루어지고 있다”면서 “원본검증 서비스기간(90일) 이후 원본파일 폐기 여부를 대학의 개인정보보호 관리책임자가 관리감독해야 하는데 현재 제대로 관리가 이뤄지지 않고 있는 상황이다. 더욱이 관리 감독의 필요성을 인지하지 못하고 있다는 것이 더 큰 문제”라고 덧붙였다.

그는 “아웃소싱 서비스가 종료된 이후에도 증명서 양식과 총장 디지털서명 이미지 등의 민감한 자료가 외부 업체에 파기되지 않고 유지하고 있는 정황이 포착된 경우도 있다”며 우려했다.

“원본 파기여부 관리감독 허술”

최근 온라인 대학증명서 발급 시스템의 개선이 시급하다는 목소리가 나오는 이유다.

실제 몇 년 전 지방 소재 대학교 졸업생의 개인정보가 사전동의없이 외부에 유출되는 사고가 발생했다, 해당 사건 후, 사고 대학교는 서버를 직접 구축하는 등 발급업무 시스템을 개선했다.

외부 3자 위탁 운영 방식의 사고가 발생은 최근에도 발생했다. 대표적으로 카카오 본사 서버 센터 화재로 서비스가 수일간 먹통이 되는 등 국민들에 큰 불편을 초래한 경우가 있었다. 또, 정부 민원발급 시스템이 중단된 적도 있었다.

대학교의 학사 데이터 정보와 연결된 외부 제3자 서버 센터에 문제가 생길 경우에도 같은 문제가 발생할 수 있다.

한 보안 전문가는 “외부 서버에 보관 중인 최종 발급된 원본 파일을 일정기간 후 파기여부를 관리 감독해야 할 해당 대학교에서 제대로 관리를 하지 못하고 있다”면서 “개인정보 관리 운영에 허점을 그대로 노출하고 있다”고 말했다. 이어 “현행 상당수 대학의 제3자 위탁 온라인 발급 시스템의 개인정보 보호 강화를 위한 근본적인 개선책이 시급하다”며 “날로 온라인 발급 수요가 증가하는 만큼, 정보 유출 위험도 그만큼 커지고 있다”고 덧붙였다.