61곳 허술… 정부인증 못 받아

학생들의 성적 및 신상정보 등이 실시간으로 취합되는 교육행정정보시스템(NEIS·나이스)이 해킹에 취약하다는 진단 결과가 나왔다. 2011년 7월 나이스 시스템 문제로 3만여 학생들의 성적 오류가 발생한 사건에도 교육부의 개선 노력이 미흡했다는 지적이다.

18일 교육부가 국회 교육문화체육관광위원회 김희정 새누리당 의원에게 제출한 ‘2012년 나이스 보안수준 진단 및 개인정보 영향평가 사업결과 보고서’에 따르면 나이스는 ▲소스진단 및 모의 해킹 ▲인프라 보안 수준 ▲관리적 보안 수준 진단 ▲개인정보 영향 평가 등 4개 분야에서 61곳이 취약한 것으로 나타났다. 특히 2011년 진단에서 지적돼 개선된 것으로 보고됐던 ‘XSS(Cross Site Scripting)를 이용한 인증정보 획득’ 등 해킹과 직결된 일부 항목은 이번 점검에서도 여전히 위험이 높은 것으로 진단됐다.

김 의원은 “전문가에게 의뢰해 해당 보고서를 정밀 분석한 결과 나이스는 서비스 간 연동 부분에 대한 보안점검 자체가 생략됐고, 보안장비의 로그 관리 실태를 점검하지 않는 등 해당 진단 자체에도 결함이 있었다”면서 “나이스는 정보 보호를 위해 정부가 도입한 ‘전자정부 정보보호 관리 체계’의 인증조차 받지 않았고, ‘주요 정보통신기반 시설’로도 지정받지 못하는 등 신뢰도에 심각한 문제를 드러냈다”고 지적했다.

나이스는 교사, 학부모, 학생들의 인적사항 및 학교생활, 성적 등이 총망라된 교육행정정보시스템으로 2002년부터 순차적으로 도입, 2011년 3월 차세대 나이스로 업그레이드됐다. 고교 및 대학입시에도 활용되고 있다.

하지만 2011년 7월 프로그램 이상으로 학생들의 성적 오류가 발생하는 등 신뢰성 및 안전성 논란이 끊이지 않고 있다.

김 의원은 “교육부에서는 시스템의 복잡성 때문에 2016년이나 돼야 보안 및 해킹 대책이 완성된다고 밝히고 있지만, 전문가들은 예산만 확보되면 신속하게 보완이 가능하다고 한다”면서 “나이스가 해킹될 경우 학교 현장이나 대입 등에 심각한 혼란이 초래될 수 있는 만큼 우선적인 보완조치를 해야 한다”고 강조했다.

박건형 기자 kitsch@seoul.co.kr