정보보안 사각지대 학교, 학생 개인정보는 안전할까?

자신의 개인정보가 엉뚱한 사람의 손에 들어가길 원하는 사람은 없다. 하지만 이 문제를 직접 처리할 만한 여력이 부족한 학생들은 어떻게 해야 할까? 게다가 부모들은 자녀의 개인 기록이나 사용을 감시할 생각을 하지 않는 경우도 많다.

모든 데이터가 위험에 처해 있지만, 미국 현행 법은 특히 학생 데이터의 수집, 저장, 공유를 다른 공공 부문보다 더욱 중요하게 보호하고 있다. 그런데도 최근 학생 개인정보 보호법이 발의됐다. 

학생 개인정보 보호법 부활
피어스거번먼트IT(FierceGovernmentIT)에 따르면, 상원의원 에드워드 마키(민주당, 매사추세츠주)와 오린 해치(공화당, 유타주)는 학생 개인정보 보호법을 부활시켰다. 해당 법안이 비준되면 학생 데이터 수집에 관한 요건이 수립된다. 하지만 이와 관련한 위험 요소는 무엇일까? 소비자 데이터에 대한 위험과 다르거나 이보다 더 중요할까?

병원 진료실부터 온라인 쇼핑몰에 이르는 다양한 곳에서 사람들은 자신의 건강, 관심도, 계좌 번호 등에 관한 많은 상세 정보를 제공하고 있다. 이것은 편리성의 문제며, 기업은 직원과 소비자들이 효율성이나 편의성을 이유로 자신의 프라이버시를 희생시키려는 경우가 많다는 사실을 알고 있다.

레질리언트 시스템즈(Resilient Systems)의 CTO 브루스 슈나이어는 학생 데이터 수집이 특별히 위험한 것은 아니라고 주장했다. “우리는 단지 아이들에 대한 위협에 과민할 뿐이다”고 슈나이어는 말했다. 물론, 학교의 네트워크도 다른 네트워크와 비슷한 위험에 처해 있다. “아동의 데이터가 학교에 저장돼 있지만 특정 학교의 네트워크가 더 위험하다고는 할 수 없다”고 그는 전했다. 이어서 슈나이어는 “해킹이나 네트워크에서 위험은 데이터가 자신에게 불리하게 사용될 수 있다는 점이다”고 강조했다.

퓨처 오브 프라이버시(Future of Privacy)의 수석 변호사 겸 운영 책임자인 브렌다 레옹은 슈나이어의 의견에 어느 정도 동감했다. “모든 데이터에 대한 우려는 동일하다. 학생 데이터에 관한 법률은 존재한다. 왜냐하면 충분한 관심을 받았기 때문이다. 하지만 프라이버시에 관한 일반 법률은 존재하지 않는다. 항상 분야 별로 적용될 뿐이다”고 레옹은 말했다. 다른 정보와 다른 학생 데이터 수집이 특별한 이유는 학생들이 학교 생활을 선택할 수 없기 때문이다.

“학교 시스템이 의무적으로 정보를 수집하기 때문에 해당 정보를 보호하고 교육을 위한 목적으로만 사용돼야 한다”고 레옹은 말했다. FERPA(Federal Educational Rights and Privacy Act)에 따르면 학교, 연구원, 분석가, 제 3의 업체는 그렇게 해야 한다. 왜냐하면 학생과 그 가족에 관한 많은 정보가 학생의 교육 기록의 일환으로 저장돼 있기 때문이다.

경제적인 손실은 차치하더라도 학생 데이터에 대해서는 일반적인 개인정보 위험이 무엇보다도 중요하다. 호건 로벨스 US LLP(Hogan Lovells US LLP)의 준회원인 브렛 코헨은 “학생 정보 해킹으로 결과가 발생할 수 있다”고 말했지만 해킹으로 인해 결과가 발생하지 않을 시나리오는 거의 없다.

학교의 네트워크는 학교 매점 재고부터 전체 교육 프로필까지 모든 것을 관리하기 때문에 많은 이해당사자들이 관련되어 있다. “수 년 전에 끝난 징계 조치에 관한 정보를 저장하는 것이 문제가 될 수 있다”고 코헨은 지적했다. “그 정보는 그들의 대학이나 미래의 고용주에게까지 전달될 수 있기 때문”이라고 그는 설명했다.

TPP(The Privacy Professor)의 CEO이자 SIMBUS 정보보안과 개인정보 보호 서비스 및 솔루션(Information Security and Privacy Services and Solutions)의 CVO 겸 파트너인 레베카 헤럴드도 코헨의 의견에 동의했다. “학생 데이터가 중요한 이유는 해당 정보가 십대들을 대상으로 영업하는 다양한 조직에 중요하기 때문이며, 여기에는 악의를 가진 사람들은 포함돼 있지 않다”고 헤럴드는 설명했다.

“고등학교 교사인 나는 학생들에게 사용하도록 요청하는 많은 온라인 툴이 교실 밖에서도 학생들의 활동을 추적할 수 있다는 사실에 놀랐다”고 헤럴드는 밝혔다. 교사들은 교육용 앱을 이용해 학생들의 학습을 향상시켜야 하지만 이런 온라인 툴과 모바일 앱 중 일부는 기기를 통해 학생들을 추적하며, 이런 사실은 널리 알려져 있지 않다.

학생 개인정보 이해 관계자들
감시가 문제다. 신분 도용도 문제다. “학생들이 사용하는 기기를 통해 학생들을 추적하는 추세가 증가하고 있다”고 헤럴드는 말했다. 학생 데이터 수집은 다른 문제라는 점에 헤럴드도 동의했다. 왜냐하면 학생 정보 해킹은 학생들이 자신의 정보 보호를 시도할 기회를 갖기도 전에 그들의 미래에 영향을 끼칠 수 있기 때문이다.

학생 데이터 수집과 관련하여 누가 해당 공유 정보에 어떤 목적으로 접근하는가에 대한 문제가 제기되고 있다. 상원의원 마키조차 “데이터 분석이 학생 성취도 향상에 도움이 된다”고 말했으며, 학교가 학습 결과를 예측할 수 있도록 돕는 학생 데이터 분석 사업이 기하급수적으로 증가하고 있다. 하지만 마키는 데이터 수집이 프라이버시에 위협을 가한다는 입장을 고수하고 있다.

“학생 데이터는 규모가 큰 사업이다”고 코헨은 말했다. 이어서 코헨은 “연구원, 분석가, 소프트웨어 개발자들은 데이터를 이용해 통찰력을 얻고 학생들의 성적을 향상시키기 위해 무엇을 할 수 있는지 파악하고 있다. 학생 데이터를 분석하면 무엇이 성공적인 학생에 기여하는지 예측하여 학교에서 학생 경험을 수정할 수 있다”고 설명했다.

법률은 마케팅 목적으로 학교 데이터를 판매하는 것을 엄격하게 금하고 있지만, 졸업반지와 졸업앨범을 판매하는 기업들부터 교제 및 모금 제품까지 학교와 데이터를 공유하고 싶어하는 외부 기업들은 많다. 레옹은 “제 3자는 수집부터 사용까지 동일한 기준을 준수해야 하며 용무가 끝난 후에는 정보를 삭제해야 한다”고 말했다.

레옹은 다음과 같이 말했다. “핵심은 프라이버시에 보호와 적절한 취급 및 의도한 목적을 위한 데이터 사용을 총 망라하는 것이다. 은행에서 금융 기관이 아닌 제 3자에 정보를 제공할 일은 없다.”

이 때문에 학생 정보는 법적 의무에 의한 경우를 제외하고는 학부모의 동의 없이 공개할 수 없다. 코헨은 “기관의 기능을 제공하는 경우에 한해 연구소 및 서비스 제공자, 계약자, 컨설턴트에 공개를 허용하는 조항도 존재한다”고 말했다. 빠져나갈 구멍이 많아 보인다.

현실적으로 학생 데이터가 다른 데이터보다 취약한 것은 아니지만 그들의 정보는 FERPA 및 기타 연방 및 주 규정에 따라 더욱 보호되고 있다. 하지만 “다양한 산업계를 포괄하는 단일 법률이 마련되는 것도 좋을 것이다”고 헤럴드는 말했다.

더 많은 교육용 기술제품이 개발되고 K12 학군에 판매되면서 이런 제 3의 제공자를 직접적인 대상으로 하는 법률과 규정이 지속적으로 마련되고 있으며 그 이유는 이런 업체와 계약자들이 “더욱 정교한 기록 시스템을 더욱 쉽고 정확하며 안전하게 제공하고 유지할 수 있기 때문이다”고 코헨은 말했다.

“개인정보 보호의 핵심은 데이터의 보호와 적절한 취급이다”고 레옹은 말했다. 데이터 분석은 학생 성취도 향상을 위한 모범 사례를 파악할 수 있는 잠재력이 있지만 프라이버시 옹호론자들은 시험 점수가 높아질 수 있다는 가능성 때문에 자녀의 프라이버시를 희생할 생각은 없을 것이다.

헤럴드는 “‘수정 FERPA’가 좋은 대책이 될 수 있지만 수집할 수 있는 모든 종류의 데이터를 다룰 만큼 충분하지는 않다. FERPA가 모든 것을 총 망라하고 모든 학생 프라이버시 문제에 초점을 맞추는 것은 어떨까?”라고 반문했다. 그 해답은 의안 통과 중이며 그 이유는 사용자들이 제공하는 데이터의 재사용이 큰 돈이 될 수 있기 때문이라고 헤럴드는 말했다.

미약한 규제는 느슨한 관리를 초래 
하지만 그 어느 때보다도 빠르게 발전하는 시장에서 특정 부문에만 한정되고 빠져나갈 구멍이 많은 규제가 과연 프라이버시를 제대로 보호할 수 있을까?

“보안을 제대로 하지 않았을 때 그 대가가 너무 저렴하기 때문에 강력한 규제가 있어야 한다”고 슈나이어는 주장했다. “필요한 것은 기업들이 보유하고 있는 데이터를 보호하도록 규정하는 강력한 규칙이다”라고 슈나이어는 강조했다.

그는 엄격한 규정과 가혹한 결과의 부재 때문에 프라이버시 문제가 거의 바뀌지 않을 것이라고 주장하면서 강물 오염에 빗대 설명했다. 강을 오염시키는 행위는 나쁘지만 강에 오염물질을 흘러 보낸다 해도 처벌이 약하다면, 폐수를 흘러 보내는 행위를 더 쉽게 저지를 수 있다는 것이다. “사람들은 법으로 규정한 만큼만 정의롭다”고 슈나이더는 말했다. “인상적인 문제는 아니다. 시장은 실패했다. 시장 경제 속에서 시장 실패를 해결하는 방법은 규제를 이용하는 것이다. 우리는 보안 부재의 비용을 높여야 한다”고 슈나이어는 강조했다. dl-ciokorea@foundryco.com