교육행정정보시스템(NEIS)이 학교종합정보관리시스템(CS)에 비해 보안성은 우수하지만 데이터가 한곳에 집중돼 유출에 따른 위험성이 상대적으로 큰 것으로 나타났다.
최근 시큐아이닷컴이 교육부의 요청을 받아 조사한 NEIS와 CS의 보안성 평가 보고서에 따르면 인증·권한관리·접근통제·암호화·감시 및 모니터링 등 일반적인 보안시스템 평가기준 항목에서 NEIS의 보안성이 높다는 결론이 나왔다.
우선 시스템에 접근하는 보안성 기준인 인증은 NEIS가 공개키기반구조(PKI)를 이용한 인증솔루션을 사용하고 있으며, CS는 ID와 비밀번호라는 기본적인 인증시스템에 그친다. 따라서 NEIS는 비인가자의 접근이 원천적으로 봉쇄되지만 CS는 ID와 비밀번호가 유출되면 비인가자라도 시스템에 접근할 수 있다.
시스템에 접근한 사용자 권한에 따라 사용할 수 있는 정보의 수준을 결정하는 권한관리는 NEIS가 통합인증권한관리(EAM)를 사용해 구현한 반면 CS에는 권한관리 기능이 없다. 결국 CS는 시스템에 접근하면 누구나 모든 정보를 볼 수 있게 된다.
해킹 등 외부 침입을 막는 접근통제는 NEIS가 방화벽·IDS·서버보안솔루션을 갖추고 있는데 CS는 방화벽만 갖췄다. 그나마 1만여개 초중고등학교 가운데 절반 정도는 방화벽조차 없는 상황이다. 데이터가 유출되더라도 이를 악용할 수 없도록 만드는 암호화는 NEIS가 인증과 데이터 암호를 모두 구현하지만 CS는 간단한 인증암호화만 지원한다.
일상적인 네트워크 상황을 살펴보고 사고가 발생하면 이를 규명하는 감시 및 모니터링은 NEIS가 보안 로그를 포함해 다양한 관리 기능이 있는 반면 CS에는 이 기능이 없다.
김영철 시큐아이닷컴 부장은 “NEIS는 최근에 구축됐기 때문에 과거에 만들어진 CS에 비해 아무래도 보안성이 높은 것이 사실”이라며 “기존 CS 환경의 보안성을 높이는 것도 가능하지만 각종 응용프로그램 변경 등 적지 않은 애로사항이 발생할 수 있다”고 말했다.
하지만 보안전문가들은 NEIS의 보안성이 높은 것은 사실이지만 데이터 유출에 따른 위험성을 간과하지 말아야 한다고 지적한다.
보안업계 한 관계자는 “실제로 뚫리지 않는 시스템은 없으며 NEIS의 경우 사회적으로 이슈가 됐기 때문에 많은 해커의 표적이 될 것”이라며 “데이터가 한곳에 집중되면 유출에 따른 위험성도 커지게 마련”이라고 평가했다.
<장동준기자 djjang@etnews.co.kr>
교육행정정보시스템과 학교종합정보관리시스템의 보안성 비교
보안항목 교육행정정보시스템(NEIS) 학교종합정보관리시스템(CS)
인증 PKI 기반 인증솔루션 ID와 비밀번호
권한관리 통합인증권한관리(EAM) ×
접근통제 방화벽·IDS·서버보안솔루션 방화벽
암호화 인증·데이터 암호 간단한 인증암호화
감시 및 모니터링 보안 로그 관리 가능 ×
