[기획]학교 개인정보의 저수지 ‘NEIS’ 보안 취약…유출땐 재앙

초중고생·학부모·교원 신상 총망라 유출 땐 재앙

카드사 개인정보 유출 사태로 학교와 교육청이 관리하는 ‘NEIS’(나이스·교육행정정보시스템) 정보에 대한 우려가 커지고 있다. 나이스에 수록된 학부모 교사 학생의 개인신상정보는 금융정보보다 훨씬 자세하고 사망 후에도 반영구적으로 보관된다. 채동욱 전 검찰총장의 혼외아들 의혹도 나이스 학생 정보가 불법 유출된 것 아니냐는 의심을 받고 있다. 전문가들은 “나이스 정보가 유출될 경우 파장이 더 클 수밖에 없다”고 입을 모았다.

◇초·중·고 학생 학부모 교사 정보 20여 가지 총망라=나이스는 전국 초·중·고교생의 학사일정·성적·급식식단부터 학부모 개인정보는 물론 교사 인사기록 등이 총망라된 시스템이다. 교육부가 구축한 공용 시스템을 토대로 전국 17개 시·도 교육청이 자체 관리하고 있다. 공인인증서만 있으면 인터넷으로 이런 개인정보를 쉽게 찾아볼 수 있다.

그러나 행정 편의에 비해 보안시스템이 해킹에 취약한 데다 몇 다리만 건너면 특정인 신상정보를 손쉽게 구할 수 있어 개인정보 유출 우려가 꾸준히 제기돼 왔다. 실제로 새누리당 김희정 의원이 지난해 교육부에서 제출받은 ‘2012년 나이스 보안수준 진단 및 개인정보 영향평가 결과’ 보고서에 따르면 나이스는 모의 해킹, 인프라 보안 수준, 관리적 보안 수준, 개인정보 영향평가 등 4개 분야에서 61항목이 취약한 것으로 진단됐다.

서울시교육청 관계자는 “학부모의 경우 주민번호·휴대전화번호는 물론 학력·이혼경력·사망이력까지, 교원의 경우 가족 인적사항과 징계·형벌까지 20여종 개인정보를 낱낱이 기록하고 있다”며 “카드사 개인정보보다 훨씬 자세해 유출될 경우 파장은 더 클 것”이라고 말했다. 서울 한 고교 교장은 “해킹이 아니라도 채동욱 사건처럼 마음만 먹으면 지인에게 부탁해 얼마든지 타인의 개인정보를 구할 수 있다”며 “다수가 접근할 수 있는 구조와 관리 부실 문제 역시 개선돼야 한다”고 지적했다.

◇경기·전북 교육청 “불필요한 정보 삭제”=카드사 정보유출 사태를 거울삼아 일부 시·도 교육청은 나이스 등 개인정보 관리체계 개선에 나섰다.

김상곤 경기교육감은 3일 월례조회에서 “학교가 관행적으로 학생·학부모 개인정보를 필요 이상 과도하게 수집해온 건 정보인권 침해에 해당한다”며 “미비한 법률에 대해선 교육부에 시정을 요청하는 방안도 검토하고 있다”고 말했다. 나이스는 물론이고 ‘가정환경조사서’ 등을 통한 정보 수집에 대해서도 우려를 나타낸 것이다.

김승환 전북교육감 역시 3일 “교육청에 불필요한 학생·학부모 개인정보가 보관돼 있다면 이번 주 안으로 전부 삭제하라”고 지시하며 “이미 수집된 개인정보라도 기간이 지나 더 이상 보관할 필요가 없는 것은 다 폐기해야 한다”고 강조했다.

교육부와 교육청 차원에서 나이스 보안 강화 예산을 확보해야 한다는 의견도 있다. 김희정 의원은 “나이스는 학생 학부모 교원의 주요 개인정보를 담고 있어 관련법에 따라 ‘주요 정보통신시설’로 지정하고 관련 예산을 반영해야 한다”고 지적했다. 교육부 관계자는 “최근 국무총리실 산하 정보통신기반보호위원회로부터 주요 정보통신시설로 지정됐다”며 “앞으로 전국 17개 시·도교육청이 정부출연금과 개별 예산을 통해 매년 1회 이상 점검을 실시하는 등 보안 체계를 강화할 예정”이라고 밝혔다.

김수현 기자 siempre@kmib.co.kr