GTA 교육청, '개인 정보 보호' 허술 > 뉴스

(토론토) 작년 말 발생한 대규모 사이버 공격으로 학생·교직원 정보가 유출된 사건과 관련해, GTA 주요 교육청들이 개인정보를 보호하기 위한 ‘합리적 조치’를 갖추지 못했다는 조사 결과가 나왔다.
온타리오 정보·프라이버시위원회(IPC)는 새 보고서에서 “교육청들이 PowerSchool의 보안 의무를 감독할 체계적 장치가 부족했고, 민감한 정보에 대한 접근을 제한하는 정책도 미비했다”고 명시했다.

이번 유출은 2024년 12월 22~28일 사이 TDSB(토론토교육청)가 사용하던 클라우드 기반 시스템 PowerSchool이 침해되며 발생했다. 같은 시스템을 사용하던 Durham, Peel, York 교육청도 피해를 입었다.
PowerSchool은 학생 등록정보, 출결, 교직원 자료, 보고 체계 등을 관리하는 주력 시스템으로, 영향은 매우 컸다.

▶ 최대 520만 명 정보 노출… “불필요한 정보 과다수집”
IPC에 따르면 온타리오에서만 약 386만 명, 캐나다 전체로는 520만 명 이상의 정보가 무단 접근됐을 가능성이 있다. 유출된 자료에는 1985년 9월 이후의 학생·교직원 기록, 주소, 건강카드 번호 등 민감한 정보도 포함된 것으로 파악됐다.

조사 결과, 일부 교육청은 PowerSchool과의 계약에 필수적인 개인정보 보호 조항조차 포함하지 않았고, 보관 기간을 정하는 규정도 부재해 필요 이상의 민감정보를 장기간 보관해 온 것으로 드러났다.
IPC는 “과도하게 쌓인 데이터가 해커의 공격에 그대로 노출되며 피해 규모를 키웠다”고 지적했다.

▶ 해커는 ‘전직 하청업체 계정’으로 침입
PowerSchool은 침해 경로가 전직 하청업체 직원의 계정이 도용된 데 있다고 밝혔다.
해커는 먼저 PowerSource 로그인을 통해 시스템에 접근한 뒤, 학생·교직원 데이터베이스 테이블을 내려받은 것으로 조사됐다. 계정 도용 시점은 2024년 8월로 추정되며, 9월까지 여러 차례 로그인 시도가 있었던 정황도 확인됐다.

이 사건과 관련해 미국 매사추세츠 출신 20세 남성이 기소돼, 올해 10월 징역 4년을 선고받았다. 그는 최대 285만 달러 상당의 비트코인을 요구하며 정보 유출을 협박한 것으로 드러났다.

▶ 교육청에 내려진 강력 권고… 6개월 내 개선 증명 제출
IPC는 모든 교육청에 대해 다음과 같은 조치를 즉각 시행할 것을 권고했다.

· PowerSource 접근 제한 및 PowerSchool 보안정책 재점검
· 불필요한 민감정보(SIN, 건강카드 번호 등) 수집 즉시 중단
· 보유 기간 재설정 및 주기적 삭제 체계 도입
· 개인정보 보호 규정을 포함한 계약 재검토·재협상
· 데이터 유출 대응 프로토콜 정비

모든 교육청은 6개월 이내에 개선 이행 여부를 IPC에 입증해야 한다.

▶ “아웃소싱은 가능해도 책임은 없다”
패트리샤 코세임 정보·프라이버시위원은 “기관이 서비스를 외부에 맡길 수는 있지만, 책임까지 넘길 수는 없다”며, 이번 사건은 교육기관 전체가 공동 대응해야 할 구조적 문제라고 강조했다.

그는 또한 온타리오주 정부에 대해 에듀테크 사용지침을 명확히 하고, 교육청 간 공동 협상을 지원하며, 전문 인력·보안 교육·자원 투입을 강화할 것을 촉구했다.

카일 J 리 기자 (news@koreadailytoronto.com)