대학 자체 평가 기반…연이은 사고에도 전체 대학 77%가 ‘우수’ 받아
진선미 의원 “정보보호 수준 진단을 강화하고 유출 사고 대책 마련해야”
올해 개인정보 유출 사고가 발생한 대학 전체 7곳 중 6곳이 교육부가 실시한 정보보호 수준 평가에서 ‘우수’ 점수를 받은 것으로 확인됐다. 해커의 공격을 받아 대규모 정보 유출 사고가 발생했는데도 ‘우수’ 평가를 받은 곳도 있었다.
본지가 10일 국회 교육위원회 소속 더불어민주당 진선미 의원실에서 입수한 자료에 따르면 올해 해킹 및 개인정보 유출 사고가 발생한 것으로 확인된 대학 전체 7곳 중 6곳이 2024년 교육부가 실시하는 ‘정보보안 및 개인정보보호 수준 진단’ 정보보안 영역에서 우수 평가를 받았다. 유출 사고가 발생했는데도 우수 평가를 받은 대학 6곳은 △경기대 △홍익대 △경북대 △전북대 △선문대 △이화여대(유출 사고 날짜순) 등 이다. 특히 올해는 1만 명 이상의 개인정보가 유출된 대형 사고가 잦았다.
경기대학교는 올해 3월 국가장학금을 받은 재학생과 졸업생 등 1만여 명의 개인정보가 웹사이트에 유출됐다. 홍익대는 5월 1만 2367명의 개인정보가 담긴 자료를 메일로 오발송해 사고가 발생했다. 경북대는 7월 메일 오발송으로 대학원 재학생 전원(5905명)의 개인 정보가 포함된 내용이 유출됐다. 같은 달 전북대는 32만2425명의 이름·주민등록번호·전화번호·이메일·학사 정보가 빠져나갔다. 선문대는 8월 SW(소프트웨어) 업데이트 과정에서 9700여 명의 개인정보가 유출됐다. 이화여대는 9월 해킹으로 졸업생 약 8만 명의 개인정보가 유출됐다.
이들 6개 대학은 지난해 정보보호수준 평가에서도 우수를 받았다. 현행 진단 평가만으로는 유출 사고를 제대로 예방하지 못하고 있는 것이다. 특히 전북대와 이화여대는 해커에 의한 공격으로 개인정보가 유출됐는데도 보안영역에서 올해 ‘우수’를 받았다. 올해 유출 사고가 발생한 경기대·이화여대·홍익대는 ISMS(정보보호 관리체계) 인증을 취득하기도 했다.
교육부 진단평가는 지표에 따라 대학 자체 평가를 기반으로 한다. 교육부 정보보호 수준진단 지표에 따라 대학이 자체적으로 진단해 점수를 산정하고, 전체 대학 중 삼 분의 일만이 자체 진단에 대한 서류 검증 절차를 거친다. 증빙 서류를 검증한 후 미흡한 대학을 선정해 현장점검을 하는데, 현장검증은 올해 전체 412곳 대학 중 약 15개 대학 내외만 이뤄졌다.
대학 자체 평가를 기반으로 하다 보니 평가는 당연히 좋을 수밖에 없다. 진선미 의원실이 제출받은 자료에 따르면 국내 국·공립, 사립 대학 중 173곳이 올해 정보보안 영역에서 ‘우수’ 평가를 받았는데, 이는 전체 대학 223개교 중 77%에 이른다. 이런 가운데 2024년 교육부의 관련 예산은 절반 가까이 깎였다. 교육부 2024년도 예산 및 기금운영계획에 따르면, 교육기관 개인정보 보호 예산은 지난해 10억 8900만 원에서 6억 5000만 원으로 약 40.31% 줄었다.
대학가에서 연이어 개인정보가 유출 사고가 발생하고 있고, 이렇게 유출된 정보가 다크웹 등지로 흘러가고 있어 대책이 필요하다. 진선미 의원은 “반복되고 확대되는 대학교 정보 유출 사태에도 불구하고, 교육부가 경각심을 갖지 않는 것 같다”며 “교육부가 정보보호 수준 진단을 강화하고 정보 유출사고를 줄일 수 있는 대책을 마련해야 한다”고 강조했다.