경기도교육청 학력평가 성적 유출 사태(2월23일자 6면 보도='전국 빌보드 500' 학력평가 성적순 게시물 퍼졌다) 이후 시일이 흐르며 속속 성적 관리를 둘러싼 정황이 확인되고 있다. 속단할 수 없는 상황 속에 외부 유출 쪽으로 무게가 기우는 상황이다.
23일 도교육청 등에 따르면 지난해 11월 전국연합학력평가 성적 전산처리 및 서버 유지보수를 담당했던 직원은 1명이다. 해당 직원은 성적 전산처리와 서버 유지보수를 담당하는 민간업체 총괄 관리를 맡았다.
직원의 역할은 전국연합학력평가시스템(GSAT) 서버에 성적 파일을 업로드하는 것이었고, 지난해 12월 7일 처음 성적 전산처리 업체에 방문해 학생 답안지 리딩과정을 지켜보고 성적 파일이 담긴 USB를 직접 전달받은 것으로 알려졌다. 이 작업은 인터넷 미연결 PC에서 진행됐으며, 해당 직원은 파일을 삭제하는 과정까지 지켜본 것으로 전해진다.
업체 직원은 해당 직원 입회 및 통제하에 교육정보기록원 서버가 허용하는 PC를 통해 성적 파일을 업로드했는데 USB는 업로드 이후 도교육청 북부청사 금고에 보관됐다. 금고 비밀번호는 해당 직원만 알고 있는 상황이다.
이 같은 과정은 두 차례 더 진행됐고 지난해 12월 16일이 마지막 작업이었다.
서버 유지보수 업체 직원들이 작업을 위해 서버에 접근할 때도 해당 직원의 입회 및 통제하에서 이뤄졌다. 위탁업체 직원은 이의신청 명목으로 서버를 열어둔 기간인 지난달 6일부터 사건이 발생한 지난 19일까지 유지보수 명목으로 직원들이 서버에 접근할 수 있었다.
하지만 도교육청에 따르면 서버 유지보수 명목으로 서버에 접근했던 건 첫 성적 업로드인 지난해 12월 7일 전으로 알려졌다.
공식적으로 업로드 이후엔 업체 직원이 서버에 접근한 사실은 없는 셈이다.
공식적으로 업로드 이후 직원 서버 접근 없어 '해킹' 의심
삭제 매뉴얼 불명확 등 도교육청 관리 실태 '비판' 불가피
이런 정황상 외부 소행(해킹)쪽에 무게가 실린다.
도교육청 관계자는 "자료를 파기하기 때문에 성적처리 업체에서 자료를 갖고 있을 수 없다"며 "일단 해킹을 의심하고 있지만 여러 가능성에 대비해 경찰 수사에 적극적으로 협조하고 있다"고 설명했다.
하지만 유출이 외부 소행으로 드러나더라도 도교육청의 서버 관리가 도마에 오를 전망이다.
성적 파일이 보관된 GSAT 서버에 접속 가능한 PC가 외부에서도 접속할 수 있는 상황이기 때문이다.
공공기관은 망 분리를 통해 외부에서 접속할 수 없도록 보안에 신경써야 했지만, 이런 방식으로 서버 관리가 이뤄지지 않은 것이다.
성적 전산처리 업체가 성적 파일을 삭제할 때 방법에 대한 매뉴얼도 구체적으로 명시되지 않았다. 과업 지시서에 '파일이 남아 있지 않도록 반드시 삭제해야 한다'고만 나와 있다.
최경진 가천대 법학과 교수·개인정보전문가협회장은 "혹시 성적 전산처리 업체 PC에 성적 파일이 남아 있을 수 있으므로 파일이 완전 삭제될 수 있도록 구체적인 매뉴얼이 필요하다"고 했다.
/김동한기자 dong@kyeongin.com
