김한정의원 "전북교육청에서만 올해 285만건 해킹 시도 있어"

사용자만 교직원 55만명, 학생 및 학부모 250만명의 개인정보 등이 담긴 교육행정정보시스템(NEIS)(이하 나이스)이 14년째 개인 계정탈취에 무방비로 노출되어 있는 것으로 드러났다.

국회 교육문화체육관광위원회 김한정 의원(경기 남양주을, 더불어민주당)이 17개 시․도 교육청으로부터 제출받은 [개인정보 영향평가 결과]에 따르면, 나이스 로그인 시 로그인 실패 가능 횟수를 설정해 놓지 않아 의도적인 공격자(해커)로부터 무차별 공격에 노출되어 있는 것으로 나타났다.

2015년 경상북도 교육청의 개인정보영향평가 결과에는 “로그인 실패에 대한 임계값(Clipping Level)을 설정하지 않을 경우 의도적인 공격자로부터 무차별 공격(Brute Force Attack)에 노출되므로 로그인 실패 임계값을 최소 5회 이상으로 설정하고, 임계값 도달 시 세션차단 경고 메시지 제공과 차단 기능을 구현할 것을 권고”한다고 되어 있다.

실제로 은행 등과 같이 다량의 개인정보를 가지고 있는 누리집은 로그인 실패 시 최대 5회까지 로그인을 시도할 수 있다는 메시지와 함께 5회 로그인을 실패하면 더 이상 로그인 시도를 할 수 없도록 설정되어 있다.

하지만 강원도교육청과 경상북도교육청 등은 이런 평가결과를 2015년에 통보받았음에도 2년이 넘도록 아무런 조치도 하지 않았으며, 한국교육학술정보원이 구축해놓은 동일한 로그인 시스템을 쓰고 있는 다른 시․도교육청은 이런 문제조차 발견하지 못한 것으로 드러났다.

각 교육청의 나이스 시스템은 엄청난 정보량으로 인해 해커들의 표적이 되고 있으며, 전북교육청에서만 매월 31만7천건, 올해 1월부터 9월까지 약 285만건의 해킹시도가 있었던 것으로 나타났다.

김한정 의원은 “17개 시․도교육청 등에서 보유하고 있는 학생, 학부모, 교직원 등의 개인정보가 수천만명(경기도 471만명, 경북 670만명 등)이 넘는 것으로 추산되고 있다”며, “시스템 구축 이후 개인정보 탈취가능성에 무방비로 노출되고 교육부, 한국교육학술정보원, 교육청 모두가 2년간 문제지적을 방관한 원인을 규명하고, 빠른 시일 내에 개인정보 보호조치를 해야 할 것”이라고 지적했다.
이 기사를 공유합니다
저작권자 © 남양주투데이 무단전재 및 재배포 금지