허술한 교육청 서버…고등학생에 털렸다

지난해 11월 치러진 전국연합학력평가 성적 자료 유출 사건은 경기도교육청 서버를 대상으로 한 해커의 소행인 것으로 조사된 가운데 이 사건과 별개로 10대 고등학생도 같은 서버를 해킹한 사실이 추가로 드러나 교육 당국의 서버 관리에 구멍이 뚫렸다는 지적이 나온다.

27일 경기도교육청에 따르면 도 교육청은 학력평가 성적 자료 유출 사건을 수사 중인 경기남부경찰청으로부터 작년 11월 시험 성적 유출은 내부 직원에 의한 것이 아닌 불상의 해커가 서버 보안망을 뚫고 접속해 해당 자료를 탈취한 뒤 유포한 것이라는 수사 결과를 전달받았다.

아울러 경찰은 이 해커 외에 10대 고등학생 A 군도 도 교육청 서버를 해킹, 같은 자료를 빼낸 사실도 알렸다.

경찰은 지난 2월 도 교육청으로부터 피해 신고를 접수한 뒤 성적 자료가 유출된 시험이 치러진 작년 11월 이후 도 교육청 서버의 외부 침입 흔적을 살펴 불상의 해커가 침입한 사실을 확인한 뒤 추가 피해 여부를 파악하고자 조사 대상 기간을 확대해 살펴보는 과정에서 A 군의 범행 사실을 포착한 것으로 알려졌다.

A 군은 불상의 해커에 의해 유포된 작년 11월 시험 자료는 물론 같은 해 4월 실시된 시험에 응시한 학생들의 이름과 성적, 소속 학교 등인 담긴 자료 일부도 갖고 있던 것으로 파악됐다. 이들 자료는 추가로 유포 되지는 않은 것으로 나타났다.

전국연합학력평가는 전국의 시도교육청이 학생들의 학력 수준을 파악하기 위해 시행하는 시험으로, 서울·경기·인천·부산교육청이 돌아가며 시험을 주관한다. 도 교육청은 지난해 4월과 11월 시험을 주관했다.

A 군은 경찰 조사에서 "평소 컴퓨터에 관심이 많아 실력을 시험해보고 싶어 해킹을 시도했다"는 취지로 진술했다. 도 교육청은 경찰 조사 전까지 A군의 해킹 사실을 전혀 알지 못했다.

경찰은 도 교육청 서버에 대한 조사 대상 기간을 더 늘릴 계획인 것으로 전해져 또 다른 침입 흔적이 나올 가능성도 배제할 수 없는 상황이다.

이에 따라 학생들의 성적과 인적 사항 등 민감한 자료를 저장 및 관리하는 경기도교육청의 전산망 보안이 크게 허술하다는 비판과 함께 서버 관리 시스템에 대한 대대적인 점검이 필요하다는 지적이 나온다.



이번에 해커 등에 의해 유출된 자료를 저장하고 있던 서버는 경기도 수원의 경기도교육청 남부청사 교육정보기록원에 있다. 도 교육청은 물리적 보안을 위해 서버가 있는 곳을 관리통제구역으로 지정, 허가받은 업무 담당자만 출입할 수 있도록 하고 있다.

시스템 보안을 위해서는 서버 중 외부에서 접근할 수 있는 구간과 이번에 유출된 성적 자료 등 중요 자료를 보관하는 구간을 분리해 운영하고 있지만, 중요자료가 잇따라 유출돼 전산망 보안에 구멍을 드러낸 것이다.

경기도교육청 관계자는 "시스템 전반을 점검하는 근본적인 수술을 준비하고 있다"며 "현재 개인정보를 취급하는 도 교육청의 온라인시스템 22개에 대해 교육부 사이버안전센터에서 모의침투 등을 통해 구체적인 취약점을 찾는 작업을 하고 있다"고 말했다.

그는 "아울러 외부 전문 기관에도 컨설팅 점검을 맡겨 정보보호 관리체계를 원점에서 재검토하는 방안을 추진하고 있으며, 이를 통해 발견되는 모든 취약점에 대해 조치하겠다"고 덧붙였다.


(사진=연합뉴스)