PowerSchool, Naviance 학생 추적 관련 1,725만 달러 합의

PowerSchool, Naviance 학생 추적 관련 1,725만 달러 합의

PowerSchool을 상대로 한 1,725만 달러 규모의 집단 소송 합의는 많은 가정이 전혀 알지 못했던 관행, 즉 학교가 사용하도록 지정한 바로 그 플랫폼을 통한 은밀하고 지속적인 학생 감시에 대해 새삼 주목하게 하고 있습니다. 이 소송은 널리 사용되는 대학 및 진로 준비 도구인 Naviance를 중심으로, 해당 플랫폼이 2021년부터 2026년까지 동의 없이 학생들의 키 입력, 클릭, 개인 통신을 수집하는 제3자 추적 소프트웨어를 심어 놓았다고 주장했습니다. 이 사건은 학생 데이터 추적 에드테크 개인정보 보호 실패가 누군가 책임을 지기까지 수년간 지속될 수 있음을 보여주는 가장 명확한 사례 중 하나입니다.

Naviance가 실제로 수집한 것 — 그리고 그 기간

Naviance는 틈새 도구가 아닙니다. 미국 전역의 수백만 고등학생이 사용하며, 대학 지원 추적, 진로 평가, 학업 계획을 위한 허브 역할을 합니다. 학교가 지정하기 때문에 학생과 가족은 보통 이를 사용할 수밖에 없습니다.

소송에 따르면, Naviance에 심어진 추적 기능은 표준 분석 수준을 훨씬 넘어섰습니다. 제3자 소프트웨어가 키 입력 수준의 데이터를 캡처하여, 학생이 입력하는 모든 문자가 기록될 수 있었다고 합니다. 클릭, 탐색 패턴, 개인 통신도 수집된 것으로 알려졌습니다. 이러한 유형의 데이터 수집은 수동적이지 않습니다. 이는 세분화되고 행동 기반적이며, 많은 경우 단순한 로그인 기록보다 훨씬 더 많은 것을 드러냅니다.

아마도 가장 놀라운 점은 그 기간일 것입니다. 추적 행위는 2021년부터 2026년까지 5년 동안 지속된 것으로 의심되며, 이 기간 동안 수백만 학생의 민감한 정보가 본인이나 부모 또는 보호자도 모르는 사이에 수집되었을 수 있습니다. 동의는 전혀 얻지 않았습니다. 명확한 공개도 없었습니다. 그 감시는 의도적으로 눈에 보이지 않게 설계되었습니다.

학교 지정 플랫폼이 학생 개인정보 보호의 사각지대인 이유

기업이 소비자용 앱을 판매하면서 추적기를 심을 때, 사용자는 최소한 이론적으로는 거부할 수 있는 선택권이 있습니다. 학교가 플랫폼을 의무화하면 그 선택권은 사라집니다. 학생들은 과제를 완료하고, 지원서를 제출하고, 자료에 접근하기 위해 그 도구를 사용해야 합니다. 이는 기존 법률이 완전히 해결하지 못하는 근본적인 동의 문제를 야기합니다.

FERPA(가족 교육 권리 및 개인정보 보호법) 및 COPPA(아동 온라인 개인정보 보호법)와 같은 연방 규정이 기본적인 보호 장치를 제공하지만, 이는 현대 에드테크 생태계의 복잡성을 염두에 두고 설계되지 않았습니다. 학교는 공급업체와 계약할 수 있습니다. 그 공급업체는 제3자 코드를 심을 수 있습니다. 그 제3자는 데이터를 수집할 수 있습니다. 각 단계가 기술적으로는 기존 규칙을 준수하면서도 결국 학생 데이터가 가족들이 들어본 적도 없는 업체로 흘러가도록 할 수 있습니다.

바로 이러한 역학 관계 때문에 PowerSchool 사건이 합의 금액 이상으로 중요한 의미를 지닙니다. 이는 법적 준수와 진정한 투명성 사이의 격차를 보여주는 기록된 사례입니다. 추적 행위가 공개적인 통지 없이 5년간 지속되었다는 사실은 부모와 학생이 학교 플랫폼이 실제로 무엇을 하는지에 대해 얼마나 가시성을 갖기 어려운지를 강조합니다.

이 문제는 수동적 추적에만 국한되지 않습니다. Canvas 관련 ShinyHunters 침해 사건에서 드러났듯이, 학생 데이터 노출은 은밀한 감시와 적극적인 사이버 공격 모두에 걸쳐 있습니다. 그 사건을 통해 거의 2억 7,500만 건의 학생 기록이 위험에 처했으며, 에드테크 부문이 여러 방향에서 동시에 취약점에 직면해 있음을 다시 한번 확인시켜 주었습니다.

은밀한 키 입력 및 통신 추적의 작동 방식

기술적 메커니즘에 익숙하지 않은 독자들을 위해, 이러한 유형의 추적이 실제로 어떻게 작동하는지 이해할 필요가 있습니다. 제3자 추적 스크립트는 일반적으로 플랫폼 개발자가 빌드 과정에서 심습니다. 사용자가 페이지를 로드하면 해당 스크립트는 백그라운드에서 자동으로 실행됩니다. 사용자에게는 아무런 이상 징후도 보이지 않습니다.

키 입력 로깅 스크립트는 실시간으로 입력을 기록하여, 누군가 '제출'을 누르기도 전에 타이핑하는 내용을 캡처할 수 있습니다. 세션 재생 도구는 마우스 움직임, 스크롤 동작, 클릭 패턴을 기록하여 사용자가 세션 동안 정확히 무엇을 했는지 재구성할 수 있습니다. 통신 가로채기는 플랫폼의 내부 시스템을 통해 전송된 메시지가 목적지에 도달하기 전에 제3자 인프라를 통과할 때 발생할 수 있습니다.

이 모든 것은 기기에 대한 특별한 접근을 필요로 하지 않습니다. 브라우저 내에서, 플랫폼 자체에서 일어납니다. 일반적인 안티바이러스 소프트웨어는 이를 감지하지 못합니다. 자녀 보호 기능도 이를 차단하지 못합니다. 개인정보 보호에 중점을 둔 브라우저 확장 프로그램조차도 스크립트가 플랫폼 자체 코드에 깊이 통합된 경우 이를 발견하지 못할 수 있습니다.

이것이 바로 학교와 공급업체 간의 계약 단계에서의 동의 및 정보 공개가 그토록 중요한 이유입니다. 학생이 Naviance를 여는 시점에는 이미 데이터 파이프라인이 구축된 후입니다.

가정이 에드테크 감시를 제한하기 위해 할 수 있는 일

PowerSchool 합의가 마지막 사례는 아닐 것입니다. 에드테크 도입은 계속 확대되고 있으며, 행동 데이터를 수익화하려는 재정적 유인은 여전히 강력합니다. 그렇지만 가정에 아무런 대응 수단이 없는 것은 아닙니다.

데이터 목록을 요청하세요. FERPA에 따라, 18세 미만 학생의 부모는 교육 기록에 대한 접근을 요청할 권리가 있습니다. 또한 학교는 학생 데이터를 공유하는 제3자 공급업체 목록을 제공할 수 있어야 합니다. 이 목록을 요청하면 가족들이 주시하고 있음을 학교에 알리는 효과가 있습니다.

매년 학교 기술 정책을 검토하세요. 많은 교육구에서 매 학년 초에 이용 약관 및 데이터 개인정보 보호 정책을 업데이트합니다. 이 문서를 요약 수준으로라도 읽어보면 어떤 플랫폼이 사용되고 있으며 어떤 데이터 관행이 공개되어 있는지 알 수 있습니다.

가능한 경우 브라우저 수준의 보호 기능을 사용하세요. 가족이 항상 학교 지정 플랫폼을 거부할 수는 없지만, 개인 기기를 학업에 사용하는 학생들은 개인정보 보호에 중점을 둔 브라우저나 제3자 스크립트 실행을 제한하는 확장 프로그램의 도움을 받을 수 있습니다. 단, 해당 도구가 필수 플랫폼 기능을 방해하지 않는 경우에 한합니다.

학교 위원회 및 관리자와 소통하세요. 가장 효과적인 장기적 보호는 제도적 책임성에서 비롯됩니다. 학교 위원회 회의에서 공급업체 계약 및 데이터 감사에 대해 학부모가 주도하는 질문은 더 강력한 감독에 대한 압력을 만듭니다.

에드테크 사건들에 대해 계속 정보를 파악하세요. PowerSchool 사건과 ShinyHunters Canvas 침해 사건은 더 광범위한 패턴의 일부입니다. 학생 데이터 유출과 감시가 고립된 사건이 아니라 반복되는 문제임을 이해하는 것이 더 나은 보호를 요구하기 위한 기초가 됩니다.

PowerSchool에 대한 1,725만 달러 합의는 의미 있는 결과이지만, 진정한 중요성은 이것이 업계 표준 관행에 대해 드러내는 바에 있습니다. 수백만 명의 학생들이 5년 동안 사용한 플랫폼이 공개되지 않은 추적 소프트웨어를 심을 수 있었다면, 던져야 할 질문은 Naviance가 무엇을 하고 있었는지뿐만 아니라 현재 다른 에드테크 플랫폼이 무엇을 하고 있을지입니다. 가족, 교육자, 정책 입안자 모두 다음 합의 이후가 아니라 지금, 답을 요구하는 역할을 해야 합니다.