원격대학교 교육시스템의 보안강화를 위한 정보보호관리체계 수립에 관한 연구

Abstract

인터넷 환경에 기반 한 정보서비스의 발전과 더불어 지식정보화 사회에서 평생교육의 중요성이 대두되면서 원격교육서비스를 제공하는 고등교육기관들이 증가하고 있다. 특히 1999년 이후 온라인상에서 공간적, 시간적 제약 없이 원하는 교육을 받으면서 학위를 취득할 수 있는 원격대학교들이 설립되면서 자기계발과 전문성 배양을 목적으로 입학하는 학생 수가 꾸준히 증가하고 있다. 원격대학교에서는 일반 오프라인 대학교와는 차별화된 특수학과들을 설립하여 다양한 연령층과 사회적 요구에 부흥하려는 노력을 하고 있으며 웹 기반 교육시스템의 고도화에 주력하고 있다. 원격교육서비스가 온라인상에서 이루어지는 사이버교육이라는 특수성 때문에 학생들에게는 많은 편의성을 제공하는 반면에 악의적인 해킹 위협에 노출되어 있어 정보보호 측면의 안전성 확보가 중요시 되고 있다. 각 학교에서는 일차적으로 침입차단, 침입탐지시스템과 같은 보안시스템 구축을 통해 원격교육시스템을 보호하고 있으나, 최근 사이버 해킹 공격은 웹을 통한 공격이 대부분이며 관리 소훌로 인한 내/외부자에 의한 다량의 개인정보유출 사고가 여러 민간, 공공기관에서 발생하고 있음을 고려할 때 종합적이고 체계적인 보안대책 구현이 필요하다. 교육과학기술부에서는 ‘원격교육설비기준’ 제시를 통해 원격대학교 설립 시의 보안시스템 설비 기준과 체계적인 보안관리 활동을 위해 ‘정보통신망이용촉진및정보보호등에관한법률’ 제47조에서 정의한 ‘정보보호관리체계(ISMS)인증’을 요구하고 있다. 정보보호관리체계는 보안관리 활동을 통해 구현된 관리적/물리적/기술적 측면의 정보보호대책들이 통합된 체계를 의미하며, 정보보호관리체계 구현의 적합성을 인증기관으로부터 객관적으로 평가받고 인증을 획득 할 수 있도록 하고 있다. 정보보호관리체계는 정보보호정책수립, 범위정의, 위험평가, 구현, 사후관리의 5단계로 구성된 정보보호관리과정과 5단계 과정을 통해 구현한 15개 분야의 정보보호통제대책으로 구성되어 있으며, 본 논문에서는 원격교육시스템의 구성 현황과 보안 현황, 정보보호관리체계의 개념 및 필요성을 살펴보고 구현 방법과 프로토타입을 제안한다. 또한 정보보호관리체계 구현 후의 효과와 인증제도, 인증 추진 시 고려사항을 살펴본다. 원격교육시스템에 대한 영역별 주요 보안위험을 요약하면 관리적, 물리적 보안 측면의 경우 제3자 즉, 위탁운영 업체 담당자에 의한 개인정보의 유출, 외장하드와 같은 저장매체 관리소홀로 인한 데이터 유출 등이 있으며, 기술적 보안 측면에서는 LMS, 학사행정시스템 사용자에 대한 접근권한 통제 미흡(업무 목적이외의 과도한 개인정보 노출), 웹 어플리케이션 취약성을 이용한 공격(웹서버를 경유한 DB서버 해킹), 네트워크 상에서의 정보 유출(계정, 패스워드), 개인정보 저장 시 주요 필드 미 암호화에 따른 노출 위험 등이 있다. 이러한 위험들은 5단계 정보보호관리과정 중 위험평가 단계에서 자산별 보안 위협과 취약성 분석, 위험도 산정을 통해 도출되며 위험을 감소시키기 위한 여러 대책을 선정하게 된다. 주요 대책으로는 사용자 유형분석 및 업무 용도별 접근권한 통제 정책 수립, 보안 USB의 사용, 웹 방화벽 및 원격 접속 시 통신보안을 위한 VPN 도입, 개인정보 중 패스워드에 대한 단방향 암호화 등이 제시될 수 있다. 이러한 여러 대책들은 조직의 인력규모, 예산 지원, 대책의 중요성 등을 고려하여 단계적 이행계획으로 구체화된다. 계획에 따른 구현과 사후관리활동을 이행한 이후에는 국가인증기관인 한국정보보호진흥원(KISA)으로부터 정보보호관리체계의 적합성을 평가받고 인증을 획득할 수 있다.;With the development of Internet-based information service, lifetime education has come to the fore in the knowledge and information society, resulting in the increase of higher education agencies that provide a on-line education service. Especially, with the establishment of cyber colleges with which a student can receive online education he or she wants without the limits of space and time and then be granted a degree since 1999, the number of students who enroll the colleges with the purpose of self-development and cultivation of expertise has increased continuously. By establishing special study courses which are discriminated from offline colleges, cyber colleges have tried to cope with the social requirement of diverse age groups and concentrated their efforts in the advancement of web-based educational system. Although a on-line education service provides students a lot of conveniences via the unique characteristics of cyber education which is carried out online, it has the risk of ill-intentioned hacking as well. In this vein, the assurance of safety is necessary from the aspect of information protection. Schools primarily protect on-line education systems through establishing such security safeguards as firewall systems and intrusion detection systems, but current cyber hacking attacks are carried out through webs for the most part and with the lack of supervision a lot of personal confidential information is leaked by insiders and outsiders alike throughout private and public agencies. In this regard, a comprehensive and systematic security management must be worked out. By presenting the 'on-line education facility criterion', the Ministry of Education, Science and Technology imposes the certification of an information security management system(ISMS), defined in the Article 47 of the Information Network Utilization Promotion & Information Protection Act, upon cyber college founders as a facility criterion of security system and for systematic security activities. ISMS refers to an all-inclusive system in which administrativephysicaltechnological countermeasures of information protection which have been implemented through security management activities are integrated. Its validity is objectively assessed by certification agencies before being approved. ISMS consists of such five information protection management courses as information security policy establishment, scope definition, risk assessment, implementation, follow-up management and the above five course-based fifteen spheres of information protection control countermeasures. In this study the investigator examined the current status of composition and security of on-line education system and then presented the conception of ISMS, its necessity, the methodology of its implementation and prototype. In addition, the investigator looked into the effect of ISMS implementation, certification system and factors that must be considered at the time of trying to receive certification. The main security risk of on-line education system by spheres can be summarized as follows: From the aspect of administrative and physical security, there are leakages of personal confidential information by the third party, namely by the person in charge of operation in contracting companies and of data due to the neglected management of such a storage medium as a portable hard; from the aspect of technological security, there are risks of leakage by the insufficient access control of LMS(learning management system) users(an excessive confidential information leakage which is not related to business affaires), through web application vulnerability-based attacks(DB server hacking by way of a web server), on networks(ID and password), and by the non-encoding of main fields at the time of storing personal information. These risks are extracted from the analysis of asset-based security threats and vulnerability and from the estimation of risk at the step of risk assessment among the five information protection management courses. And in order to reduce risks, a variety of countermeasures are adopted. As major countermeasures, there are the analysis of user types, the establishment of access right control policy by business usages, the use of security USB, the establishment of web firewall, the introduction of virtual private network(VPN) for the communication security at the time of connection from outside sources, and the one-way encoding of password, one of personal information. These countermeasures can be concretely implemented step by step by taking an organization's human resource scale, budget support, significance of the safeguards and so on into account. After implementing the countermeasures according to a plan and completing follow-up management activities, an organization can review the suitability of its information security management system with the Korea Information Security Agency(KISA), a national certification agency, and then can acquire its certification.