경찰 수사서 드러난 ‘보안 미흡’ 경기도교육청 서버, 해커 놀이터였다

배수아 기자 이윤희 기자 2023. 4. 28. 05:16
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
경기도교육청 전국 27만명 개인정보 관리 허술
경찰, 올해 2월 해킹 뿐 아니라 과거에도 해킹 시도 계속 있어

한정숙 경기도교육청 제2부교육감이 21일 오후 경기 수원시 장안구 경기도교육청 브리핑룸에서 열린 전국연합학력평가 성적자료 유출 관련 브리핑에서 교육청 관계자와 이야기를 나누고 있다. 2023.2.21/뉴스1 ⓒ News1 김영운 기자

한정숙 경기도교육청 제2부교육감이 21일 오후 경기 수원시 장안구 경기도교육청 브리핑룸에서 열린 전국연합학력평가 성적자료 유출 관련 브리핑에서 교육청 관계자와 이야기를 나누고 있다. 2023.2.21/뉴스1 ⓒ News1 김영운 기자

(수원=뉴스1) 배수아 이윤희 기자 = 지난 11월 치러진 전국연합학력평가 성적정보가 유출된 사안과 관련해 경찰이 수사 중간 발표를 하면서 경기도교육청의 보안 관리가 허술하다는 지적이 나오고 있다.

전날(26일) 경기남부경찰청 사이버수사과는 지난해 11월 치러진 전국연합학력평가 성적정보를 텔레그램의 한 채널방에 최초 유포한 20대 A씨를 개인정보유출 위반 혐의로 입건해 구속했다고 밝혔다.

경찰은 A씨 외에도 같은 텔레그램 채널방 운영자 B씨 등 5명을 검거해 수사 중이다. 이 중에는 전국학평 성적정보를 해킹했지만 유포는 하지 않은 고등학생 C군도 포함돼 있는 것으로 알려졌다.

특히 C군의 경우 일반인임에도 손쉽게 도교육청 서버에 접근한 것으로 밝혀져 경기도교육청이 그동안 27만명의 개인정보 관리를 허술하게 했다는 지적이 나온다.

전국학력평가는 전국 시도중 경기·서울·인천·부산 등 4개 시도교육청이 돌아가면서 문제를 출제하고 성적을 관리한다. 지난해 11월 치러진 전국학평은 경기도교육청이 주관했다.

경기도교육청은 시험 후 성적관리를 위탁업체에 맡긴다. 위탁업체가 채점한 성적 정보를 2차 재가공해 이동식저장장치(USB)에 담아 도교육청에 전달하면, 위탁업체 직원이 도교육청 담당자 관리하에 도교육청 서버에 올리는 식이다.

서버에 올라간 27만명 학생들의 성적 정보는 각 학교 교사들이 본인 학교의 성적 파일만 다운로드 할 수 있도록 설정돼 있다. 다운로드 버튼을 눌러 다운을 받는 일반적인 방식이다.

그러나 이번에 해킹된 도교육청 서버의 경우 일반적인 다운 방식 외에도 URL에 숫자 등의 명령어를 입력하면 특정 파일이 다운되는 해킹 기법이 가능했다.

보안이 강한 서버라면 이런 해킹 기법이 허용되지 않는다는 게 경찰 관계자의 말이다.

경기남부청 유제열 사이버수사과장은 "도교육청 서버는 파일을 다운로드 받을 때 URL에 특정 파일을 추정할 수 있는 첨부파일 IP가 뜨고 넘버링이 된다"며 "어떤 파일을 해킹해야겠다 마음을 먹으면 컴퓨터쪽에 소질이 있는 사람은 쉽게 해킹 할 수 있도록 보안이 미흡하다"고 말했다.

경기도교육청 전경./

경기도교육청 전경./

해킹된 도교육청 서버는 별도의 인증절차도 없는 것으로 확인됐다. 권한없는 사람도 쉽게 접속해 파일을 다운로드 할 수 있다는 뜻이다.

경찰은 초기 수사 때 도교육청 내부자와 위탁업체 직원의 소행으로 의심했다. 해킹된 파일과 위탁업체에서 2차 재가공한 파일이 일치했기 때문이다.

도교육청은 초기 수사 과정에서 2차 재가공한 파일이 서버에 올라가면 파일명이 자동으로 변경된다고 경찰에 진술했다. 하지만 경찰이 서버에 대해 포렌식 조사를 한 결과, 파일이 변경되는 게 아니었다.

이번 수사 과정에서 검거된 고등학생 C군의 경우도 본체 서버를 해킹한 것으로 드러났다. C군은 서버의 해킹 시도를 3000여번이나 했던 것으로 알려졌다. C군이 3000여번이나 시도하는 동안 도교육청은 이를 전혀 인지조차 하지 못했다. C군은 "경찰에 평소에 컴퓨터에 관심이 많아 여러번 시도하다가 결국 해킹에 성공했다"고 진술했다.

또 아직 검거되지 않은 불상의 해커가 해킹한 파일도 본체 서버에 올라간 파일인 것으로 알려졌다.

불상의 해커는 해킹된 파일을 텔레그램 채널방의 운영자에게 전달했고 이를 최초로 유포한 운영자는 지난달 22일 구속됐다.

한정숙 경기도교육청 제2부교육감이 21일 오후 경기 수원시 장안구 경기도교육청 브리핑룸에서 열린 전국연합학력평가 성적자료 유출 관련 브리핑에서 사과를 하고 있다. 2023.2.21/뉴스1 ⓒ News1 김영운 기자

한정숙 경기도교육청 제2부교육감이 21일 오후 경기 수원시 장안구 경기도교육청 브리핑룸에서 열린 전국연합학력평가 성적자료 유출 관련 브리핑에서 사과를 하고 있다. 2023.2.21/뉴스1 ⓒ News1 김영운 기자

경찰은 지난 2월 학평 성적 정보가 유출된 시기 이전에도 도교육청 서버의 해킹 시도가 있었다고 밝혔다.

C군 또한 지난해 11월 시험 자료뿐만 아니라 같은해 4월 경기도교육청이 주관한 학력평가 응시생들의 성적 자료도 일부 갖고 있던 것으로 파악됐다.

경찰은 불상의 해커를 수사하는데 수사력을 집중하고 있다. C군은 국내 개인 IP로 해킹해 검거가 비교적 수월했지만 미검거된 해커의 경우 해외 IP로 우회해 들어와 해외 기업의 공조 등이 필요한 상황이다.

경찰은 이번에 밝혀진 해킹 외의 불특정 다수의 해킹 시도와 이를 유출한 사람들에 대한 수사를 확대하고 있다.

한편 경기도교육청은 개인정보를 취급하는 온라인 시스템을 조사해 22개 시스템에 대해 취약점 진단을 시행 중에 있다고 밝혔다. 또 외부 전문기관에 용역을 맡겨 정보보호 관리체계 전반에 걸쳐 원점에서 재검토를 추진하겠다는 방침이다.

sualuv@news1.kr

Copyright © 뉴스1. All rights reserved. 무단 전재 및 재배포, AI학습 이용 금지.

이 기사에 대해 어떻게 생각하시나요?
뉴스1에서 직접 확인하세요. 해당 언론사로 이동합니다.