[한국대학신문 허정윤 기자] ‘소 잃고 외양간 고친다는 말’이 자주 언급되는 분야가 있으니, 바로 ‘보안’ 분야다. 코로나19로 비대면 기반 원격교육이 캠퍼스에 ‘디폴트 값’(기본설정)처럼 여겨지는 요즘이다.

캠퍼스 환경 변화에 따라 수강신청을 하지 않은 사람이 강의를 방해하는 사건부터, 학교 네트워크를 해킹하는 사건, 온라인으로 치러지는 중간·기말고사 도중 발생하는 부정행위(cheating) 사건까지. 그 종류도 갖가지다. 정보의 가치가 코로나19로 높아진 가운데 개인의 데이터 보안도 더 중요해지고 있어 대학가도 보안 상태를 점검해봐야 할 시점이 왔다.

코로나19 이전에도 개인 전자기기로 학교 데이터에 접근하는 경우가 많긴 해도, 내부 네트워크 관리 시스템만 신경 쓰면 되는 정도였다. 지금은 대부분 대학이 학교 시설 이용 제한과 등교 제한에 들어가면서 캠퍼스의 ‘일상’이 오프라인에서 온라인으로 옮겨갔다. 이에 따라 학교 네트워크를 사용하는 게 아니라, 학생들이 외부에서 학교 네트워크로 접속하거나 외부망을 이용해 강의를 듣는 게 ‘일상’이 됐다.

■부정행위(cheating)도 ‘보안’ 문제= 원격교육과 관련해 학생들이 피부로 느끼는 가장 큰 문제는 시험 부정행위다. 전문가들은 이제 보안의 개념도 확장해야 하고 해킹을 기존 개념으로 보는 건 좁다고 말했다. 

일반적으로 특정 정보를 해커로부터 도난당하거나 학교 네트워크를 마비시키는 것을 보고 ‘보안이 뚫렸다’라고 여겨왔다. 하지만 넓게 보면 온라인 부정행위를 걸러내지 못하는 것 또한 ‘보안 취약’으로 볼 수 있다는 말이다. 실례로 온라인 시험에서 단체 부정행위가 적발된 인하대 의대, 서강대 수학과 등이 이슈가 되기도 했다. 

이런 와중에 기업은 대학보다 시험을 위한 보안 태세를 철저히 갖춰 주목을 받았다. ‘삼성고시’라고 불리는 삼성의 ‘대졸 신입사원 공채 삼성직무적성검사(GSAT)’는 비대면 교육이 참고할 만한 사례를 제공했다고 볼 수 있다. 시험 당일 응시자는 거치대에 스마트폰을 올려둔 채로 삼성 자체 모니터링 시스템에 접속해 감독관의 지도를 받으며 시험을 본다. 모든 시험 과정은 녹화된다. 모니터 화면 캡처와 불필요한 화면 이동도 보안 솔루션에서 감지할 수 있다. 부정행위를 하다 적발되면 해당 시험은 무효 처리되고, 향후 5년간 응시가 불가능하도록 규칙을 정했다.

한동국 국민대 정보보안암호수학과 교수는 “치팅(부정) 행위가 학교 시스템에 악성코드를 심는 물리적 행위는 아니지만 타인에게 피해를 주는 건 명백한 사실”이라며 “영(0)점 처리는 단편적인 솔루션이며 재발 방지책으로 부적합하다”라고 꼬집었다. 한 교수는 “비대면 시험의 공정성을 높이기 위해서라도 대학들이 부정행위를 탐지하는 시스템을 구축할 필요가 있다”며 이와 더불어 “무조건 기술적으로 막기보다는 대학 공동체에서 도덕적으로 보안이 사회 질서와 공정성 유지에 얼마나 중요한 부분인지 인지할 수 있도록 교육 커리큘럼과 절차를 마련해야 한다”라고 조언했다.

■ISMS는 일종의 ‘체크리스트’, 보안 관련 지속적인 투자 필요= 과학기술정보통신부 산하 한국인터넷진흥원(KISA)이 심사하는 ISMS(정보보호 관리체계 인증제도)는 정보통신망의 정보자산을 보호하고 안전성과 신뢰성 확보를 위해 운영하는 관리‧기술‧물리적 보호조치를 포함한 종합 관리체계다. 대학의 ISMS 취득은 학사행정시스템 운영과 원격교육 서비스 보호 체계가 인증기준에 적합하다는 의미로 볼 수 있다.

재학생 수 1만명 이상 대학이(국립대 11개교, 사립대 31개교) ISMS 인증 의무대상이지만 인증을 받지 않은 대학이 아직도 있다. 이 와중에 연세대는 대학 최초로 ISMS-P를 취득해 ‘강한 보안’으로 주목받기도 했다. 

김형종 서울여대 정보보호학과 교수는 “학교들이 정보보안에 관심을 가지고 지속해서 보안 시스템에 투자하는 것은 고무적”이라면서도 “인증이 ‘완벽한 보안’을 뜻하는 것은 아니다”라고 말했다. 김 교수는 “사후평가를 통해 매번 갱신해야 하고, 이를 위한 컨설팅 등에 드는 비용도 무시할 수 없다”며 보안은 인증과 별개로 노력이 필요하다고 덧붙였다.

ISMS 인증을 받아도 문제는 다른 곳에서 일어난다. 김범수 연세대 정보대학원 교수는 “대학 특성상 다양한 기기들이 수시로 대학 네트워크에 접속하기 때문에 대학 시스템을 향한 직접적인 공격보다 대학 구성원(사용자)들을 통해 들어오는 공격이 많다”고 설명했다. 개별 사용자가 일종의 ‘해킹 통로’가 되는 셈이다. 김 교수는 “이러한 문제는 대학 구성원, 학교 보안팀과 소통하며 해결하면 된다는 인식을 길러야 하고, 대학별로 보안 담당팀을 별도로 꾸릴 필요가 있다”라고 조언했다.

하지만 현재는 기본적으로 사용 주체들이 악성 코드에 주의하는 수밖에 없는 단계다. 아직 원격교육과 관련한 이슈는 이용률 증가로 인한 트래픽 ‘먹통’ 사태가 대표적이지만, 보안은 한 번 뚫리면 큰 피해를 불러오기에 각별히 대비해야 한다는 게 전문가들의 의견이다.

정수환 숭실대 전자정보공학부 교수는 “코로나19 시대에 새로운 보안 패러다임이 필요하다”라고 정리했다. 정 교수는 “보안 문제는 ‘한 번에’ 해결될 수 없는 특성이 있다”며 “성능 문제로 일어나는 보안 이슈는 그때마다 능동적인 대응을 하는 것이 중요하고, 디지털 성능을 보존하면서 개인정보도 어떻게 지켜낼 것인지 고민해야 할 때”라고 말했다.