스마트 학교의 데이터 보안 체크리스트
  • BenQ
  • 2023-06-13

학교가 교실에 스마트 기기를 도입하면서 의도치 않게 데이터 보안 위험에 노출될 수 있습니다. 교육 기술을 보호하는 방법을 아는 교육 기관은 이러한 학습 도구의 교육적 이점을 최대한 활용하면서 잠재적인 위협으로부터 정보를 안전하게 보호할 수 있습니다.

학교에서 스마트 기기 보안을 고려해야 하는 이유는 무엇인가요?

2010년대 초반부터 교육 부문은 이미 데이터 유출의 영향을 가장 많이 받는 분야 중 하나로, 미국에서만 전체 데이터 유출의 16.8%를 차지했습니다.[1] 데이터 유출이란 조직이나 개인이 소유한 데이터가 실수로 또는 불법적으로 공개, 변경, 파괴 또는 손실되는 모든 보안 사고를 말합니다. 이러한 유출의 영향은 영향을 받은 모든 사람의 평판과 안전에 치명적일 수 있습니다.

 

보안 전문가들은 학교에서 보안 침해가 발생할 경우, 교육 데이터가 유출될 경우 공격자가 개인 식별 정보(PII)를 획득할 확률이 76%에 달한다고 지적했습니다[2].

Potential impact of security breaches to teachers and students

미국 교육부에 따르면 학교에서 수집하는 학생에 대한 PII는 이름과 주소부터 특수 지원 요청 및 징계 사건 기록에 이르기까지 다양합니다.[3] 학교는 비밀번호와 주민등록번호를 포함한 교사에 대한 직원 정보도 저장할 수 있습니다. 이 중 하나라도 도난당하면 공격자는 사기, 신원 도용, 협박, 갈취 및 기타 관련 안전 문제에 사용할 수 있습니다[4],[5].

 

데이터 도난 외에도 학교 네트워크 침해는 해킹 및 랜섬웨어 공격과 같은 다른 위협으로 이어질 수 있으며, 이는 일상적인 운영을 심각하게 방해할 수 있습니다.

Potential impact of security breaches to schools

The effects shown on the graphic are based on the impact levels listed on the National Institute of Standards and Technology’s Standards for Security Categorization of Federal Information and Information Systems.[6]

앞서 언급했듯이 스마트 기기는 학교를 공격에 취약하게 만들 수 있는 항목 중 하나입니다. 스마트 보드와 같은 기술은 항상 인터넷에 연결되어 있기 때문에 노출되어 있는 경우가 많으며, 적절한 보안 조치를 설정하지 않으면 공격자가 학교의 시스템을 무너뜨리는 데 필요한 균열이 될 수 있습니다. 그렇기 때문에 학교에서 사용하는 모든 스마트 기술을 점검하고 취약점을 보호할 수 있는 방법을 찾는 것이 중요합니다.

학교에서 스마트 디바이스의 보안을 강화하려면 어떻게 해야 할까요?

교육 또는 기타 목적으로 학교에서 스마트 기기를 사용할 때는 항상 기기, 네트워크, 클라우드라는 세 가지 핵심 사항을 염두에 두는 것이 좋습니다. 각 수준에서 보안 문제를 해결하면 학교의 전반적인 보안 전략을 수립하는 데 도움이 됩니다.

다음은 학교에서 스마트 기기를 안전하게 사용하기 위한 지침으로 사용할 수 있는 체크리스트입니다.

기기 보안

☐ 학교에 스마트 기기 사용 가이드라인이 있나요?

스마트 기기의 부적절한 사용은 학교를 보안 위협에 노출시키는 한 가지 방법입니다. 부적절한 사용에는 보안되지 않은 웹사이트 열기, 앱 무단 사이드로딩, 의심스러운 파일 다운로드 등의 활동이 포함됩니다. 부적절한 기기 사용으로 인한 보안 침해를 방지하기 위해 학교는 학생과 교사가 해야 할 일과 하지 말아야 할 일을 명확하게 명시한 스마트 기기 사용 지침을 마련해야 합니다.

☐ 디바이스에 대한 사용자 권한을 할당하고 수정할 수 있나요?

사용자가 학교의 스마트 기기를 부적절하게 사용하는 것을 방지하는 또 다른 방법은 사용자 권한을 할당하는 것입니다. BenQ 전자칠판과 같은 일부 스마트 장치에서는 IT 관리자가 다양한 보안 사용자 모드를 활성화하여 교사와 같이 권한이 부여된 직원만 로그인하여 스마트 보드를 사용할 수 있도록 할 수 있습니다.

☐ 디바이스에 대한 펌웨어 업데이트 및 보안 패치를 받고 있나요?

해커가 조직의 시스템에 침입하는 일반적인 방법 중 하나는 익스플로잇을 사용하는 것입니다. 해커는 먼저 인터넷에 연결된 디바이스 중 취약점이 있는 디바이스, 즉 오래된 버전의 펌웨어나 앱을 사용하고 있는 디바이스를 찾습니다. 그런 다음 공격자는 이러한 취약점을 악용하여 백도어 및 기타 멀웨어를 설치하거나 기밀 데이터 탈취와 같은 기타 악의적인 활동을 수행할 수 있습니다.

 

벤큐와 같이 보안에 민감한 대부분의 공급업체는 이러한 취약점에 대한 정기적인 펌웨어 업데이트와 보안 패치를 고객에게 제공합니다. 학교의 IT 관리자는 항상 이러한 업데이트가 적시에 설치되어 침해 가능성을 방지할 수 있도록 해야 합니다.

☐ 보안 소프트웨어를 설치할 수 있나요?

As an extra layer of protection, you may opt to install security software on your new devices. Check whether or not your school’s existing security solution can be extended to your smart devices.

네트워크 보안

☐ 학교에 스마트 기기 사용 가이드라인이 있나요?

안전하지 않은 네트워크에 연결된 보안되지 않은 스마트 기기는 학교를 원격 공격에 노출시킬 수 있습니다. 2017년 보안 설문조사에서 개방형 네트워크 포트를 사용하는 프린터는 교육 부문의 데이터 보안 위험으로 확인되었습니다. 미국 소재 학교에서 발견된 모든 보안되지 않은 디바이스 중 43.9%를 프린터가 차지했습니다.[7] 노출된 프린터에 대해 두 번 생각하지 않을 수도 있지만 해커는 이 취약점을 이용해 실제 표적을 찾을 때까지 학교 네트워크 내에서 측면으로 이동할 수 있습니다.

 

네트워크 관리자는 스마트 기기를 노출된 상태로 두어서는 안 됩니다. 학교 네트워크에서 사용하지 않는 포트를 모두 닫고 기능에 따라 네트워크를 세분화하면 이 문제를 해결할 수 있습니다. 세분화를 통해 내부 업무에 사용되는 모든 스마트 기기를 제3자와 공유하는 스마트 기기와 분리할 수 있습니다.

☐ 스마트 디바이스의 네트워크 설정을 구성하여 보안을 강화할 수 있나요?

BenQ 전자칠판과 같은 일부 스마트 장치에서는 IT 관리자가 학교 네트워크 내에서 보다 안정적이고 안전한 데이터 전송을 위한 네트워크 설정을 구성할 수 있습니다. 이러한 설정을 활용하여 전자칠판이 학교의 기존 네트워크 보안 조치를 완벽하게 준수하는지 확인하십시오.

클라우드 보안

☐ 스마트 기기에서 보안 클라우드 시스템을 사용하나요?

많은 공급업체에서 IT 팀이 학교의 스마트 장치와 사용자 목록을 원격으로 모니터링하고 관리할 수 있는 클라우드 기반 관리 플랫폼을 제공합니다. 이러한 콘솔과 대시보드는 모두 온라인 상태이므로 이러한 웹사이트가 안전한 통신을 위해 HTTPS 및 SSL과 같은 프로토콜을 사용하고 있는지 확인해야 합니다. 또한 로그인 자격 증명을 승인할 때 이러한 서비스에서 사용하는 보안 표준을 확인하는 것이 가장 좋습니다.

 

장치 및 사용자 관리를 위해 벤큐 서비스 포털을 사용하는 학교는 벤큐 클라우드 계정에 액세스할 때마다 이러한 표준이 항상 적용되도록 보장됩니다.

☐ 스마트 디바이스와 해당 클라우드 서비스가 데이터 보호 규정을 준수하고 있나요?

많은 스마트 기기는 특정 서비스를 활성화하기 위해 사용자 데이터를 필요로 하므로 학교는 해당 기기 및 관련 클라우드 서비스가 감사를 받았는지 확인하고 해당 국가에서 적용되는 데이터 보호 규정을 준수해야 합니다. 벤큐 전자칠판과 같이 규정을 준수하는 장치를 사용하면 학교의 정보가 동의한 목적으로만 사용되도록 보장하는 데 도움이 됩니다.

자세한 내용은 벤큐를 통한 보안 강화에서 확인해 보세요.

References

  1. Huq, N., “Follow the Data: Analyzing Breaches by Industry (Trend Micro Analysis of Privacy Rights Clearinghouse 2005–2015 Data Breach Records)”, Trend Micro, https://documents.trendmicro.com/assets/wp/wp-analyzing-breaches-by-industry.pdf, published 22 September 2015, last accessed 17 April 2023.

  2. Ibid.

  3.  “What Parents Need to Know about their Student's Data”, Protecting Student Privacy, US Department of Education, https://studentprivacy.ed.gov/training/what-parents-need-know-about-their-students-data, last accessed 17 April 2023.

  4.  “A Parent’s Guide for Understanding K-12 School Data Breaches”, Privacy Technical Assistance Center Student Privacy Policy Office, US Department of Education, https://studentprivacy.ed.gov/sites/default/files/resource_document/file/Parent%20Guide%20to%20Data%20Breach.pdf, last accessed 17 April 2023.

  5. Huq, N., “Follow the Data: Dissecting Data Breaches and Debunking Myths (Trend Micro Analysis of Privacy Rights Clearinghouse 2005–2015 Data Breach Records)”, Trend Micro, https://documents.trendmicro.com/assets/wp/wp-follow-the-data.pdf, published 22 September 2015, last accessed 17 April 2023.

  6. “Standards for Security Categorization of Federal Information and Information Systems”, Computer Security Division, Information Technology Laboratory, National Institute of Standards and Technology (NIST), https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.199.pdf, last accessed 17 April 2023.

  7. Huq, N., Hilt, S., and Hellberg, N, “US Cities Exposed: Industries and ICS (A Shodan-Based Security Study of Exposed Systems and Infrastructure in the US)”, Trend Micro, https://documents.trendmicro.com/assets/wp/wp-us-cities-exposed-industries-and-ics.pdf, published 15 February 2017, last accessed 17 April 2023.