전국연합학력평가 성적 유출(2월21일자 7면 보도="학력평가 성적 유출에 책임감… 피해 최소화할 것") 이후 2차 유포 및 재가공물이 확산하는 이유로 경기도교육청의 서버 부실 관리로 인한 보안 공백이 꼽힌다.
22일 경기남부경찰청 등에 따르면 지난 19일 전국연합학력평가 성적 유출 관련 2차 유포와 재가공물이 텔레그램과 유명 수험생 커뮤니티 등을 중심으로 확산하고 있는 상황이다.
지난 20일 텔레그램의 한 채널에선 운영자 A씨가 '전국 빌보드 500'이란 이름으로 재가공물을 올렸다. 이 재가공물은 지난해 11월 전국연합학력평가 성적 상위 500명의 이름과 학교, 백분율을 정리한 것이다.
A씨는 이틀 뒤엔 "서울대 컴공에 가고 싶은 삼수생입니다", "기자님 혹시 이 방에 계시면 알아두세요. 제 이름은 ○○○입니다"라며 신원을 밝혔다. 이후 '전국 국어+수학 동시 만점자 명단'이라는 재가공물을 추가 유포했다. 이 채널은 이날 오후 6시 기준으로 아직 운영되고 있다.
경찰은 "텔레그램의 경우 경찰청이 국제 공조를 요청하면서 협조를 구하고 있지만 어려운 부분이 있는 건 사실"이라며 "확산 방지를 위해 2차 유포 및 재가공자에게도 엄중한 법적 책임을 물을 것"이라고 설명했다.
재가공물 유포… 2차 피해 현실화
이번 사태 배경엔 도교육청의 서버 부실 관리가 원인으로 보인다. 구체적인 성적 자료 파기 지침이 없었기 때문이다. 도교육청은 자료 파기 전 이의신청 등을 고려해 한 달여 동안 도교육청 교육정보기록원 서버에 자료를 보관하는데, 민감한 개인정보를 다루는 상황이지만 이 기간을 특정하지 않았다. 이에 해킹 또는 내부 유출 여지를 만들어 준 상황이 된 것이다.
이에 당초 한국교육과정평가원에 서버를 맡겨야 했다는 지적이 나온다.
평가원이 지난해 11월 대학수학능력시험을 준비하는 과정에서 여력이 없자 민간업체에 성적처리 및 서버 유지보수를 맡겼다. 이에 서버를 유지보수하는 한 달여 동안 민간업체 직원이 서버에 접근할 수 있게 된 것이다.
반면 평가원은 전날 실시한 서버 긴급 점검 결과 해킹과 같은 외부 침입 흔적이 없고, 시스템도 아무 이상이 없는 것으로 확인됐다.
도교육청 관계자는 "민원이 추가로 발생할 수 있어 명시하지는 않았지만 통상 한 달여 더 보관한 뒤 삭제한다"며 "유출된 성적자료는 이번 주에 서버에서 내릴 계획이었다"고 설명했다.
도교육청 부실 서버 관리 '도마위'
파기 지침 없어… 유출 빌미 제공
보안 전문가들은 당초 서버 관리가 부실하다고 비판했다.
김형중 고려대 정보보호대학원 특임교수는 "성적 출력 기간 이후 추가로 며칠을 더 서버에 올려둘지에 대한 기간을 정하지 않은 것이 문제"라며 "구체적인 지침을 만들어야 한다"고 했고, 최경진 가천대 법학과 교수·개인정보전문가협회장은 "현대사회에선 한 번 유출되면 자료 유포를 완전히 막을 수 없다"며 "공공기관에서 서버를 이렇게 관리했다는 것 자체가 이해되질 않는다"고 했다.
/김동한기자 dong@kyeongin.com
