학력평가 성적 유출은 해커 소행…최초 유포자인 재수생 등 6명 입건

손성배, 이찬규 2023. 4. 27. 13:45
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기

경찰이 지난 2월 경기도교육청 전국연합학력평가 성적 유출 사건의 최초 유포자를 붙잡아 구속했다. 최초 유포자는 재수생인 20대 A씨로, 교육청 서버를 해킹한 해커로부터 자료를 받아 입시 정보를 공유하는 텔레그램 대화방에 유출한 것으로 드러났다. A씨와 함께 대화방을 운영한 20대, 이들과 별개로 시스템을 해킹해 자료를 소지하고 있던 고등학생 등 4명도 함께 입건됐다.

텔레그램에 유포된 지난해 11월 치러진 전국연합학력평가 성적 자료. 최초 성적이 유포된 계정 대화방은 폐쇄됐지만, 유사 계정 대화방을 통해 재유포되고 있다. 텔레그램 화면 캡처

텔레그램에 유포된 지난해 11월 치러진 전국연합학력평가 성적 자료. 최초 성적이 유포된 계정 대화방은 폐쇄됐지만, 유사 계정 대화방을 통해 재유포되고 있다. 텔레그램 화면 캡처


경기남부경찰청 사이버수사과는 정보통신망법(개인정보유출) 위반 혐의로 A씨를 구속하고, 텔레그램 대화방 운영자 B씨 등 5명을 불구속 입건해 수사 중이라고 27일 밝혔다. A씨는 지난 2월 텔레그램 대화방인 ‘핑프방’ 등을 통해 2022학년도 11월 실시된 고2 학력평가 응시자 27만여명의 시험 성적, 소속 학교, 이름, 성별 등을 유포한 혐의를 받고 있다.

경찰은 수사 착수해 두 달여 만인 이날 중간 수사 결과를 발표했다. 사건 초기 경기도교육청이 성적 통계를 서버에 올리기 전 관련 파일을 생성하는 과정에 자료 유출이 발생했다는 의혹이 제기되면서 내부자 소행에 무게를 두고 수사를 진행했다. 그러나 94만건에 달하는 접속 기록 등을 분석한 결과 성적 자료를 유출한 건 해외 우회 IP를 이용한 해커로 밝혀졌다.

해커는 텔레그램 대화방을 통해 최초 유포자인 A씨에게 성적 자료를 전달했고 A씨는 이를 자신이 운영하는 텔레그램 대화방 ‘핑프방’에 유포했다. 핑프방은 유명 강사와 학원의 문제집 등을 불법 공유하는 피뎁방(수능 문제집 등을 무단 복제해 PDF 파일로 공유하는 텔레그램 대화방) 중 하나로, 수험생들이 주로 이용한다. 누군가 입시 관련 자료를 운영자에게 제보하면, 운영자가 이를 전체방에 다시 공유하는 방식으로 운영된다.

A씨는 자신의 정보력을 과시해 핑프방에 더 많은 참여자를 끌어들이려는 목적으로 성적 정보를 유포했다고 경찰에 진술했다. 핑프방의 참여자는 성적 자료 유출 당시 9만여명이는데 이후 수험생들 사이에서 유명세를 타 27일 기준 11만9078명으로 늘어났고, 여전히 운영 중이다. 경찰은 해당 대화방 운영에 관여한 B씨와 C씨도 불구속 입건하고, 무단으로 참고서 등을 공유한 것이 저작권법 위반에 해당하는지도 살펴 보고 있다.

다만 A씨에게 해킹한 성적 자료를 전달한 해커의 신원은 아직 특정되지 않았다. 수사팀은 현재 해외 기업 등과의 공조를 통해 해커를 추적하고 있다.

텔레그램 대화방 '핑프방'에서 수능 교재들이 무단 복제돼 PDF 파일 형식으로 공유되고 있다. 학력평가 성적 자료 유출 이후 참여자는 2만여명 증가했다. 텔레그램 캡처

텔레그램 대화방 '핑프방'에서 수능 교재들이 무단 복제돼 PDF 파일 형식으로 공유되고 있다. 학력평가 성적 자료 유출 이후 참여자는 2만여명 증가했다. 텔레그램 캡처


한편 사건 수사 과정에서 A씨와 별개로 교육청 서버에 무단 접속해 성적 정보를 소지하고 있던 고등학생 D씨의 범행도 드러났다. D씨는 서버에 3000여회 접속하며 학력평가 성적 자료를 포함한 각종 정보를 해킹한 뒤 소지하고 있었지만, 이를 외부에 유출하진 않은 것으로 조사됐다. 그는 조사 과정에서 “원래 컴퓨터 해킹에 관심이 많았는데, 교육청 학력평가 서버가 뚫려서 자료를 내려받았다”고 진술했다고 한다. 경찰은 정보통신망침해 등 혐의로 D씨를 입건했다.

핑프방과 유사한 대화방을 만들어 성적 자료를 판매하려던 20대 E씨도 덜미를 잡혔다. E씨는 실제 자료를 가지고 있지 않으면서 팔겠다고 약속하고, 금품만 받아 빼돌린 혐의를 받는다. 또한 디시인사이드에 ‘성적 유출 자료를 내가 다 봤다’는 게시글을 올렸다가 최초 유포자 의심을 받았던 F씨의 경우 해킹 및 유출과는 무관한 것으로 밝혀졌지만, 증거물 포렌식 과정에서 불법 음란물을 소지한 사실이 확인돼 성폭력처벌법 위반 혐의로 입건됐다. 이에 따라 이 사건 수사 과정에서 입건된 피의자는 총 6명이다.

경찰 관계자는 “교육청 서버에 인증 절차가 없어 성적을 관리하는 교사 외에도 권한 없는 사람의 접속이 가능한 점 등 보안에 미흡한 점이 있었다”며 “해킹에 이용한 우회 IP를 추가 추적해 유출된 성적 자료를 해킹한 피의자 등에 수사를 이어갈 것”이라고 말했다.

이찬규·손성배 기자 lee.chankyu@joongang.co.kr

Copyright © 중앙일보. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
중앙일보에서 직접 확인하세요. 해당 언론사로 이동합니다.