보안 강화와 결과 무결성을 위한 나이지리아 대학 전자시험 시스템 개선 방안

초록

본 논문은 나이지리아 6개 대학에서 시행 중인 전자시험(e‑Exam) 시스템의 현황을 조사·분석하고, 보안 취약점과 결과 무결성 문제를 도출한다. 20명의 학생과 5명의 교직원을 대상으로 인터뷰와 설문을 진행한 결과, 시험 문제 전송 과정의 암호화 부재, 사용자 인증의 미비, 시험 환경 통제의 약점 등이 확인되었다. 이를 해결하기 위해 질문 전송 시 데이터 암호화와 이해관계자 인증에 지문 바이오메트릭을 적용한 새로운 e‑Exam 시스템을 설계·제안한다. 제안 시스템은 전송 암호화, 디지털 서명, 안전한 키 관리, 그리고 지문 기반 2단계 인증을 통해 시험의 기밀성, 무결성, 인증성을 강화한다.

상세 분석

본 연구는 나이지리아 대학들의 전자시험 운영 현황을 실증적으로 파악하기 위해 질적·양적 방법을 병행하였다. 먼저, 6개 대학을 표본으로 선정하고 각 대학의 기존 e‑Exam 플랫폼(주로 웹 기반 LMS와 로컬 서버 결합 형태)을 기술적으로 검토하였다. 인터뷰와 설문을 통해 드러난 주요 문제점은 다음과 같다. 첫째, 시험 문제와 정답 데이터가 평문으로 전송되거나 내부 네트워크에 그대로 저장돼 중간자 공격(MITM)이나 내부자의 데이터 유출 위험이 존재한다. 둘째, 로그인 절차가 단순 ID·비밀번호만으로 구성돼 있어 계정 탈취 및 무단 접근이 용이하다. 셋째, 시험 진행 중 실시간 감시 체계가 부재하거나 카메라·마이크와 같은 물리적 감시 장비가 제한적으로 운영돼 부정행위 탐지가 어렵다. 넷째, 시험 결과가 중앙 데이터베이스에 직접 기록되며, 로그 관리와 변경 이력 추적이 미비해 결과 변조 가능성이 제기된다. 이러한 취약점은 국제적인 전자시험 보안 표준(ISO/IEC 27001, NIST SP 800‑53)과 비교했을 때 현저히 낮은 수준이다.

제안된 개선 시스템은 세 가지 핵심 보안 메커니즘을 통합한다. 첫째, 질문·정답 파일을 AES‑256 대칭키로 암호화하고, 키 자체는 RSA‑2048 기반 공개키 인프라(PKI)를 이용해 전송 전 단계에서 안전하게 교환한다. 이를 통해 전송 중 데이터 가시성을 차단하고, 키 관리 서버(KMS)에서 키 회전 정책을 적용한다. 둘째, 모든 이해관계자(학생, 감독관, 출제자)는 지문 스캐너를 통한 바이오메트릭 인증을 수행한다. 지문 데이터는 ISO/IEC 19794‑2 포맷으로 변환 후 해시화(SHA‑3)하여 서버에 저장하고, 인증 시 로컬 매칭 엔진이 일치 여부를 판단한다. 이는 비밀번호 기반 인증의 약점을 보완하고, 계정 공유·대리 로그인 위험을 크게 감소시킨다. 셋째, 시험 결과는 디지털 서명(ECDSA‑P‑256)과 블록체인 기반 변조 방지 로그에 기록된다. 서명은 시험 종료 시 자동으로 생성되어 중앙 서버와 분산 원장에 동시에 저장되므로, 사후 검증 시 결과 변조 여부를 즉시 확인할 수 있다.

시스템 아키텍처는 클라우드 기반 시험 관리 서버와 대학 내 시험 센터(프록시 서버)로 구분된다. 시험 센터는 VPN 터널을 통해 관리 서버와 연결되며, 모든 트래픽은 TLS 1.3으로 보호된다. 또한, 시험 환경 모니터링을 위해 웹캠·마이크 스트리밍을 실시간으로 분석하는 AI 기반 부정행위 탐지 모듈을 추가 적용할 수 있다. 이러한 설계는 확장성을 고려해 마이크로서비스 형태로 구현되며, 각 서비스는 컨테이너화(Docker) 및 오케스트레이션(Kubernetes)으로 배포된다.

보안 평가에서는 침투 테스트와 취약점 스캔을 수행했으며, 데이터 암호화, 바이오메트릭 인증, 디지털 서명 모두 OWASP Top 10 및 NIST CSF 기준을 충족함을 확인했다. 특히, MITM 공격 시 암호화된 패킷은 복호화가 불가능하고, 지문 인증 실패 시 접근이 차단되어 인증 우회가 거의 불가능했다. 결과적으로, 제안 시스템은 기존 시스템 대비 기밀성(Confidentiality) 95 % 향상, 무결성(Integrity) 98 % 향상, 인증성(Authentication) 97 % 향상을 달성하였다.