2015.06.03

정보보안 사각지대 학교, 학생 개인정보는 안전할까?

Kacy Zurkus | CSO

규제가 본래의 의도대로만 잘 적용되면 학생들의 개인정보 보호에 도움이 될 것이다.


이미지 출처 : Thinkstok

자신의 개인정보가 엉뚱한 사람의 손에 들어가길 원하는 사람은 없다. 하지만 이 문제를 직접 처리할 만한 여력이 부족한 학생들은 어떻게 해야 할까? 게다가 부모들은 자녀의 개인 기록이나 사용을 감시할 생각을 하지 않는 경우도 많다.

모든 데이터가 위험에 처해 있지만, 미국 현행 법은 특히 학생 데이터의 수집, 저장, 공유를 다른 공공 부문보다 더욱 중요하게 보호하고 있다. 그런데도 최근 학생 개인정보 보호법이 발의됐다. 

학생 개인정보 보호법 부활
피어스거번먼트IT(FierceGovernmentIT)에 따르면, 상원의원 에드워드 마키(민주당, 매사추세츠주)와 오린 해치(공화당, 유타주)는 학생 개인정보 보호법을 부활시켰다. 해당 법안이 비준되면 학생 데이터 수집에 관한 요건이 수립된다. 하지만 이와 관련한 위험 요소는 무엇일까? 소비자 데이터에 대한 위험과 다르거나 이보다 더 중요할까?

병원 진료실부터 온라인 쇼핑몰에 이르는 다양한 곳에서 사람들은 자신의 건강, 관심도, 계좌 번호 등에 관한 많은 상세 정보를 제공하고 있다. 이것은 편리성의 문제며, 기업은 직원과 소비자들이 효율성이나 편의성을 이유로 자신의 프라이버시를 희생시키려는 경우가 많다는 사실을 알고 있다.

레질리언트 시스템즈(Resilient Systems)의 CTO 브루스 슈나이어는 학생 데이터 수집이 특별히 위험한 것은 아니라고 주장했다. "우리는 단지 아이들에 대한 위협에 과민할 뿐이다"고 슈나이어는 말했다. 물론, 학교의 네트워크도 다른 네트워크와 비슷한 위험에 처해 있다. "아동의 데이터가 학교에 저장돼 있지만 특정 학교의 네트워크가 더 위험하다고는 할 수 없다"고 그는 전했다. 이어서 슈나이어는 "해킹이나 네트워크에서 위험은 데이터가 자신에게 불리하게 사용될 수 있다는 점이다"고 강조했다.

퓨처 오브 프라이버시(Future of Privacy)의 수석 변호사 겸 운영 책임자인 브렌다 레옹은 슈나이어의 의견에 어느 정도 동감했다. "모든 데이터에 대한 우려는 동일하다. 학생 데이터에 관한 법률은 존재한다. 왜냐하면 충분한 관심을 받았기 때문이다. 하지만 프라이버시에 관한 일반 법률은 존재하지 않는다. 항상 분야 별로 적용될 뿐이다"고 레옹은 말했다. 다른 정보와 다른 학생 데이터 수집이 특별한 이유는 학생들이 학교 생활을 선택할 수 없기 때문이다.

"학교 시스템이 의무적으로 정보를 수집하기 때문에 해당 정보를 보호하고 교육을 위한 목적으로만 사용돼야 한다"고 레옹은 말했다. FERPA(Federal Educational Rights and Privacy Act)에 따르면 학교, 연구원, 분석가, 제 3의 업체는 그렇게 해야 한다. 왜냐하면 학생과 그 가족에 관한 많은 정보가 학생의 교육 기록의 일환으로 저장돼 있기 때문이다.

경제적인 손실은 차치하더라도 학생 데이터에 대해서는 일반적인 개인정보 위험이 무엇보다도 중요하다. 호건 로벨스 US LLP(Hogan Lovells US LLP)의 준회원인 브렛 코헨은 "학생 정보 해킹으로 결과가 발생할 수 있다"고 말했지만 해킹으로 인해 결과가 발생하지 않을 시나리오는 거의 없다.

학교의 네트워크는 학교 매점 재고부터 전체 교육 프로필까지 모든 것을 관리하기 때문에 많은 이해당사자들이 관련되어 있다. "수 년 전에 끝난 징계 조치에 관한 정보를 저장하는 것이 문제가 될 수 있다"고 코헨은 지적했다. "그 정보는 그들의 대학이나 미래의 고용주에게까지 전달될 수 있기 때문"이라고 그는 설명했다.

TPP(The Privacy Professor)의 CEO이자 SIMBUS 정보보안과 개인정보 보호 서비스 및 솔루션(Information Security and Privacy Services and Solutions)의 CVO 겸 파트너인 레베카 헤럴드도 코헨의 의견에 동의했다. "학생 데이터가 중요한 이유는 해당 정보가 십대들을 대상으로 영업하는 다양한 조직에 중요하기 때문이며, 여기에는 악의를 가진 사람들은 포함돼 있지 않다"고 헤럴드는 설명했다.

"고등학교 교사인 나는 학생들에게 사용하도록 요청하는 많은 온라인 툴이 교실 밖에서도 학생들의 활동을 추적할 수 있다는 사실에 놀랐다"고 헤럴드는 밝혔다. 교사들은 교육용 앱을 이용해 학생들의 학습을 향상시켜야 하지만 이런 온라인 툴과 모바일 앱 중 일부는 기기를 통해 학생들을 추적하며, 이런 사실은 널리 알려져 있지 않다.




2015.06.03

정보보안 사각지대 학교, 학생 개인정보는 안전할까?

Kacy Zurkus | CSO

규제가 본래의 의도대로만 잘 적용되면 학생들의 개인정보 보호에 도움이 될 것이다.


이미지 출처 : Thinkstok

자신의 개인정보가 엉뚱한 사람의 손에 들어가길 원하는 사람은 없다. 하지만 이 문제를 직접 처리할 만한 여력이 부족한 학생들은 어떻게 해야 할까? 게다가 부모들은 자녀의 개인 기록이나 사용을 감시할 생각을 하지 않는 경우도 많다.

모든 데이터가 위험에 처해 있지만, 미국 현행 법은 특히 학생 데이터의 수집, 저장, 공유를 다른 공공 부문보다 더욱 중요하게 보호하고 있다. 그런데도 최근 학생 개인정보 보호법이 발의됐다. 

학생 개인정보 보호법 부활
피어스거번먼트IT(FierceGovernmentIT)에 따르면, 상원의원 에드워드 마키(민주당, 매사추세츠주)와 오린 해치(공화당, 유타주)는 학생 개인정보 보호법을 부활시켰다. 해당 법안이 비준되면 학생 데이터 수집에 관한 요건이 수립된다. 하지만 이와 관련한 위험 요소는 무엇일까? 소비자 데이터에 대한 위험과 다르거나 이보다 더 중요할까?

병원 진료실부터 온라인 쇼핑몰에 이르는 다양한 곳에서 사람들은 자신의 건강, 관심도, 계좌 번호 등에 관한 많은 상세 정보를 제공하고 있다. 이것은 편리성의 문제며, 기업은 직원과 소비자들이 효율성이나 편의성을 이유로 자신의 프라이버시를 희생시키려는 경우가 많다는 사실을 알고 있다.

레질리언트 시스템즈(Resilient Systems)의 CTO 브루스 슈나이어는 학생 데이터 수집이 특별히 위험한 것은 아니라고 주장했다. "우리는 단지 아이들에 대한 위협에 과민할 뿐이다"고 슈나이어는 말했다. 물론, 학교의 네트워크도 다른 네트워크와 비슷한 위험에 처해 있다. "아동의 데이터가 학교에 저장돼 있지만 특정 학교의 네트워크가 더 위험하다고는 할 수 없다"고 그는 전했다. 이어서 슈나이어는 "해킹이나 네트워크에서 위험은 데이터가 자신에게 불리하게 사용될 수 있다는 점이다"고 강조했다.

퓨처 오브 프라이버시(Future of Privacy)의 수석 변호사 겸 운영 책임자인 브렌다 레옹은 슈나이어의 의견에 어느 정도 동감했다. "모든 데이터에 대한 우려는 동일하다. 학생 데이터에 관한 법률은 존재한다. 왜냐하면 충분한 관심을 받았기 때문이다. 하지만 프라이버시에 관한 일반 법률은 존재하지 않는다. 항상 분야 별로 적용될 뿐이다"고 레옹은 말했다. 다른 정보와 다른 학생 데이터 수집이 특별한 이유는 학생들이 학교 생활을 선택할 수 없기 때문이다.

"학교 시스템이 의무적으로 정보를 수집하기 때문에 해당 정보를 보호하고 교육을 위한 목적으로만 사용돼야 한다"고 레옹은 말했다. FERPA(Federal Educational Rights and Privacy Act)에 따르면 학교, 연구원, 분석가, 제 3의 업체는 그렇게 해야 한다. 왜냐하면 학생과 그 가족에 관한 많은 정보가 학생의 교육 기록의 일환으로 저장돼 있기 때문이다.

경제적인 손실은 차치하더라도 학생 데이터에 대해서는 일반적인 개인정보 위험이 무엇보다도 중요하다. 호건 로벨스 US LLP(Hogan Lovells US LLP)의 준회원인 브렛 코헨은 "학생 정보 해킹으로 결과가 발생할 수 있다"고 말했지만 해킹으로 인해 결과가 발생하지 않을 시나리오는 거의 없다.

학교의 네트워크는 학교 매점 재고부터 전체 교육 프로필까지 모든 것을 관리하기 때문에 많은 이해당사자들이 관련되어 있다. "수 년 전에 끝난 징계 조치에 관한 정보를 저장하는 것이 문제가 될 수 있다"고 코헨은 지적했다. "그 정보는 그들의 대학이나 미래의 고용주에게까지 전달될 수 있기 때문"이라고 그는 설명했다.

TPP(The Privacy Professor)의 CEO이자 SIMBUS 정보보안과 개인정보 보호 서비스 및 솔루션(Information Security and Privacy Services and Solutions)의 CVO 겸 파트너인 레베카 헤럴드도 코헨의 의견에 동의했다. "학생 데이터가 중요한 이유는 해당 정보가 십대들을 대상으로 영업하는 다양한 조직에 중요하기 때문이며, 여기에는 악의를 가진 사람들은 포함돼 있지 않다"고 헤럴드는 설명했다.

"고등학교 교사인 나는 학생들에게 사용하도록 요청하는 많은 온라인 툴이 교실 밖에서도 학생들의 활동을 추적할 수 있다는 사실에 놀랐다"고 헤럴드는 밝혔다. 교사들은 교육용 앱을 이용해 학생들의 학습을 향상시켜야 하지만 이런 온라인 툴과 모바일 앱 중 일부는 기기를 통해 학생들을 추적하며, 이런 사실은 널리 알려져 있지 않다.


X