안전 구멍난 `학내망 보안지침`

　교육과학기술부가 이달 말 전국 교육청에 배포할 예정인 초중고 학내망 보안성 확보 지침이 졸속 행정이란 비난을 사고 있다.

　정부 기관이 KT·LG데이콤·SK브로드밴드 등 인터넷서비스사업자(ISP)와 협의하는 과정에서 보안 지침 수위를 크게 낮춰 요식행위에 불과한 지침으로 전락했기 때문이다.

　7일 업계 및 정부기관에 따르면 교과부와 한국정보화진흥원은 이달 말 각 초중고에 보낼 학내망 보안성 확보지침에서 초기 용역 조사결과에서 포함됐던 다양한 종류의 보안 규정을 대거 삭제했다. 교과부 용역과제를 맡은 한국정보화진흥원(NIA)은 초기 조사 결과에서 과전압 및 과전류 차단, 정전기 방지 등 보안장비의 안전 기능이 필요하다고 했지만 관련 지침을 삭제했다.

　교육행정정보시스템 등에 과전압 등이 흐르게 되면 안전 사고가 우려된다. UTM의 바이패스(bypass) 기능 지침도 삭제됐다. 이럴 경우 학내망 보안 장비에 장애 발생 시 다른 보안 장비로 대체할 수 없게 된다. 학교 교사들이 교육행정정보시스템을 이용하지 못하는 초유의 사태가 발생할 수 있다.

　여러 개의 하드디스크에 데이터를 나눠서 저장하는 기술인 ‘RAID(Redundant Array of Inexpensive Disks)’ 구성 지침도 사라졌다. 이 지침이 없으면 로그(log) 저장장치에 문제가 생길 경우 복구가 안 돼 감사추적성 및 장애원인 분석이 불가능해질 수 있다. 웹메일 송수신 기능도 차단해야 정보유출을 방지하고 대용량 트래픽 유발 가능성을 막을 수 있다는 권고도 지키지 않았다. 또 EAL4 이상의 공통평가인증(CC)을 받을 것을 권고했지만 EAL3로 등급이 완화됐다.

　이 같은 지침 완화는 한국정보화진흥원과 KT·LG데이콤·SK브로드밴드 등 보안장비를 임대서비스하는 ISP와 논의를 거친 후 변경된 것으로 알려졌다. 보안 전문가들은 NIA가 학내망 보안 지침 수위를 낮춘 배경에는 보안 장비 기본 규격을 높게 잡을 경우 일선 학교에서 더 좋은 성능의 제품을 구매하게 되고 이로 인해 이윤이 줄어들 것을 우려한 ISP의 거센 반대 때문이었다고 지적했다.

　교과부는 지난해 학내망 고도화사업을 추진하면서 초중고 학내망의 보안성을 확보하기 어렵다는 경기도교육청 등 일선 교육청의 건의를 수렴, NIA에 학교 보안성 확보방안 지침을 마련하도록 지시했다. IPTV 등 학내망의 새로운 환경 변화에 따른 집선청 및 학교 통합보안장비(UTM)의 기본 지침을 마련, 미흡했던 학교 보안장비 보급률을 끌어올리는겠다는 것이 목표다. 집선청은 교육청 단위 전국 11개 정보집중센터로 유해정보차단 및 침입차단·방지 기능을 가진 보안장비(방화벽 및 IPS)가 구축된다.

　허정회 NIA 디지털인프라단융합서비스부 팀장은 “보안가이드라인을 너무 높게 책정하면 비용이 올라가 학교에 부담을 주게 된다”며 “가이드라인이 발표되면 재정이 넉넉한 학교는 더 좋은 장비를 쓸 수도 있다. 최초의 보안가이드라인을 제정해 일선학교에 배포한다는 데 더욱 의의를 둬야 할 것”이라고 말했다.

　장윤정기자 linda@etnews.co.kr