학내망 보안성확보 지침 ‘졸속 행정’

교육과학기술부가 이달말 전국에 배포할 예정인 초·중·고등학교의 학내망 보안성확보 지침이 졸속 행정이란 비난을 사고 있다. 정부 기관이 KT·LG데이콤·SK브로드밴드 등 인터넷서비스사업자(ISP)와 협의하는 과정에서 보안 지침 수위를 크게 낮춰, 요식행위에 불과한 지침으로 전락했기 때문이다.

7일 업계 및 정부기관에 따르면 교육과학기술부는 지난해 학내망 고도화사업을 추진하면서 초·중·고 학내망의 보안성을 확보하기 어렵다는 경기도교육청 등 일선 교육청의 건의를 수렴, 한국정보화진흥원(NIA)에 학교 보안성 확보방안 지침을 마련토록 지시했다.

NIA는 이에 학내망 보안 장비 개선을 골자로 한 ‘학교·집선청 보안성 확보방안’을 연구 용역 사업으로 진행, 작년말 초안을 마련하고 이달말 배포할 예정이다. 이 사업은 IPTV 등 학내망의 새로운 환경 변화에 따른 집선청 및 학교 통합보안장비(UTM)의 기본 기능에 대한 지침을 마련, 그간 미흡했던 학교 보안장비 보급률을 끌어올리는 게 목표이다.

하지만 NIA는 KT·LG데이콤·SK브로드밴드 등 보안장비를 임대서비스하는 ISP와 논의를 거친 후 용역 조사를 토대로 작성한 당초 보안 장비 지침 결과를 무시하고 ‘유명무실’한 지침을 마련한 것으로 지적됐다. 초기 용역 조사 결과에는 과전압 및 과전류 차단, 정전기 방지 등의 보안장비에 대한 안전 기능을 권고했지만 관련 지침을 삭제, 불시에 과전압 등이 흐를 경우 안전 사고가 우려된다.

또, 초기 지침에 포함된 UTM의 바이패스(Bypass) 기능 지침도 삭제됐다. 만의 하나 학내망 보안 장비에 장애가 발생하면 다른 보안 장비로 대체할 수 없는 등 학교는 교육행정정보시스템 등에 대한 교육 행정 인터넷 서비스 자체를 이용할 수 없게 된다.

여러 개의 하드디스크에 중복된 데이터를 나눠서 저장하는 기술인 ‘RAID(Redundant Array of Inexpensive Disks)’ 구성 지침도 사라졌다. 이 지침이 없으면 로그(log) 저장장치에 문제가 생길 경우 복구가 안돼 감사추적성 및 장애원인 분석이 불가능해질 수 있다.

또한, 웹메일 송수신 기능도 차단하는 것이 정보유출을 방지하고 대용량 트래픽 유발 가능성을 막을 수 있다고 용역 결과에서 지적했지만 이 역시 웹 메일 송수신 차단 기능을 허용하는 쪽으로 지침이 바뀌었다. 또 CC인증 부분에서 용역조사시에는 EAL4 이상의 공통평가인증(CC)를 받을 것을 권고했지만 EAL3로 등급이 완화됐다.

보안 전문가들은 NIA가 학내망 보안 지침 수위를 낮춘 배경에는 보안 장비의 기본 규격을 높게 잡을 경우 일선 학교에서 더 좋은 성능의 제품을 구매하게 되고 이로 인해 이윤이 줄어들 것을 우려한 ISP의 거센 반대 때문인 것으로 지적했다. 업계 한 관계자는 “ISP 임대장비의 마진율이 50% 넘는다는 것은 공공연히 알려진 사실”이라며 “ISP가 마진을 적게 가져가면 학내망 보안장비의 품질을 높일 수 있는데 역으로 보안장비의 품질을 낮추는 것은 말도 안 된다”고 지적했다.

이와 관련 NIA 디지털인프라단융합서비스부 허정회 팀장은 “보안가이드라인을 너무 높게 책정하면 비용이 올라가 학교에 부담을 주게 된다”며 “이번 가이드라인이 발표되면 재정이 넉넉한 학교의 경우 더 좋은 장비를 쓸 수도 있다. 최초의 보안가이드라인을 제정해 일선학교에 배포한다는 데 보다 의의를 둬야할 것”이라고 말했다. 또 그는 “이번 가이드라인이 배포되면 그간 보안장비 없이 운영되던 많은 학교들에 보안장비 보급률이 높아질 것으로 전망된다”고 덧붙였다.

장윤정기자 linda@etnews.co.kr