다중 알고리즘 난수 처리로 보안 근원적 차단
교원능력개발평가 솔루션인 '헤브듀'가 교원능력개발평가의 최대 현안 가운데 하나인 보안 문제점을 해결해 주목을 받고 있다.
이 솔루션은 세운청문(대표 신영옥)이 개발한 것으로 설계 단계에서부터 프로그램과 통신상의 보안을 근본적 차단할 수 있도록 구현했다는 것이다. 즉, 관리자가 봐도 모르는 다중 알고리즘 난수 처리로 평가정보를 외부로 유출될 수 있는 모든 가능성을 원천적으로 차단시켰다는 것이다.
교원능력개발평가 시스템의 보안이 취약하여 새어 나갈 수 있는 가능성은 첫째, 관리자가 사람이기 때문에 만약을 대비한 근본적 보안 차단이 필요하고, 두 번째는 솔루션을 믿고 사용하도록 프로그램 상의 근본적인 차단 데이터 보안과 Web통신 해킹 안전 보안이 필요하다는 것이다.
헤브듀는 이를 해결하기 위해 운영보안, 자료보안, 서버보안 등을 프로그램 상에서 원천적으로 차단하도록 설계했다는 것이다.
이를 좀 더 구체적으로 살펴보면 교원능력개발평가 시스템의 보안 문제점은 크게 4가지로 분류해 볼 수 있는데, 첫째는 관리자의 사용 컴퓨터가 인터넷 상에 노출 되어서는 안 된다는 것이다. 이는 해킹 원인이 제공되는 것과 마찬가지이며, 관리자 컴퓨터는 컴퓨터 작동 시(ON) 관리자 자신의 자기 서버로만 작동되어야 한다는 것이다. 두 번째는 관리자는 인사이동 시 평가결과를 머릿속에 담아갈 수 있으며 지나간 자료라도 발설결과는 사회 혼란이 커 겉잡을 수 없게 된다는 것이다. 세 번째는 그렇기 때문에 결과물의 원천 차단과 다중 난수와 암호로 운영되어야 하며 관리자는 어떤 평가결과를 알아서도 안 되고, 봐도 모르는 난수로 처리해 알 수 없도록 해야만 한다는 것이다. 네 번째는 관리자는 수정기능이나 볼 수 있는 기능이 없어야 한다는 것이다. 학생이나 학부형이 좋지 않게 평가했는데 관리자의 부정으로 수정하거나 결과를 보고 아는 기능을 수정한다면 사회적 문제가 생길 수 있기 때문이라는 것이다.
헤브듀는 이러한 문제점을 감안해 교원능력개발평가가 철저한 알고리즘 보안기능으로 개발해 학부모, 학생, 교사, 관리자인 선생님 등이 편리하게 안심하고 사용할 수 있도록 했다는 것이다.
헤브듀는 학교의 평가담당자가 평가 및 설문에 참여하는 인원을 입력하면 그와 동시에 자동으로 평가/설문지가 생성되고, 평가자 대 피평가자의 평가 매칭정보 또한 자동으로 생성되며, 온라인 교원능력개발평가시스템은 학부모, 학생, 교원이 시간과 장소에 관계없이 누구나 편리하고 쉽게 교원평가를 수행할 수 있도록 했다는 것이다.
특히 자료 보안에 있어서는 SQL Injection 및 Cross Site Scripting에 대한 방지장치로 해킹에 노출되지 않도록 철저한 방비가 돼 있고, 평가결과에 대해서는 평가자는 재 조회가 불가능하며, 해당학교 평가관리자만 결과에 대하여 조회/열람할 수 있도록 처리했다는 것이다.
또한 해당 학교평가관리자의 IP Address와 Mac Address를 인증하여 평가관리PC를 등록하고 등록된 PC에서만 조회 및 열람이 가능하도록 돼 있고, 해당 학교평가관리자는 교원/학생/학부모 단위의 평가 및 설문이 종료된 시점에서 열람이 가능하며, 평가 및 설문이 진행 중일 때는 평가결과에 대하여 조회할 수 없도록 했다는 것이다.
데이터베이스의 기록자료는 주요 데이터를 구분, 암호화를 통해 저장되므로 외부 유출 시 그 내역을 확인할 수 없도록 했다는 것이다. 운영 보안의 경우 평가신청 및 학교회원가입에 대한 정보만 관리하고, 이용학교의 평가결과에 대해서는 열람 또는 조회하는 기능을 차단 시켰으며, 학부모의 설문조사 시 실명인증절차를 수행하고 성명 및 주민번호를 입력 받아 검증하되 데이터베이스에는 보관해서는 안 되도록 했다는 것이다. 해당학교 평가관리자를 위한 전용프로그램을 공급하며, 평가/설문대상자는 온라인 홈페이지를 통하여 평가 및 설문에 응하되 온라인상의 평가관리자의 아이디 및 비밀번호가 유출되더라도 온라인 홈페이지 상에서 평가진행에 대한 관리업무를 할 수 없도록 했다는 것이다.
또한 미래 교원능력개발평가 방향은 삼성SDS에서 개발한 교육행정정보시스템인 나이스(NEIS)에 입력된 학생, 학부모의 다양한 피드백 활동도 가능하도록 같이 통합 운영되어야 한다는 것이다.
헤브듀에 대한 상세자료는 www.havedu.co.kr에서 찾아 볼 수 있다.
김용석 기자
yskim@itdaily.kr