전국연합학력평가 성적 자료 유출, 10대 해커 소행이었다

경찰 올해 대학 신입생 구속
”서버 보안 취약해 접근 가능”

경기남부경찰청 청사. /경기남부경찰청

지난 2월 발생한 작년 11월 경기도교육청 주관 전국연합학력평가 성적자료 유출 사건의 주범이 붙잡혔다. 피의자는 올해 정보통신 관련 학과에 입학한 10대 대학생으로 호기심이나 실력과시 욕심에 이같은 행위를 한 것으로 나타났다.

경기남부경찰청 사이버수사과는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반(정보통신망 침입) 및 개인정보 보호법 위반 혐의로 모 대학교 학생 A씨를 구속했다고 1일 밝혔다.

A씨는 지난 2월 18일 경기도교육청 학력평가시스템 서버에 불법 침입, 작년 11월 전국연합학력평가 고교 2학년 성적 정보 27만여건을 빼내 텔레그램 ‘핑프방’ 운영자 B씨(구속)에게 전달한 혐의를 받고 있다. 수험 정보를 공유하는 대화방인 핑프방 운영자 B씨가 같은 날 오후 10시 30분쯤 대화방에 올리면서 성적자료가 유포됐다.

A씨는 이 사건을 포함해 작년 10월부터 200여차례에 걸쳐 해외 IP로 우회해 경기도교육청 서버에 침입하고, 100회가량 자료를 불법 다운로드한 혐의를 받는다. A씨가 해킹을 통해 탈취한 자료 중에는 작년 4월 전국연합학력평가 고교 3학년 성적 정보 등도 포함된 것으로 조사됐다.

A씨는 고교 3학년이던 작년 10월 처음으로 경기도교육청 서버를 해킹한 것으로 확인됐다. A씨는 경찰에서 “처음에는 내 성적 정보가 궁금해 우연히 서버의 취약점을 발견하고 서버에 접근했다”며 “나중에는 실력을 과시할 목적으로 자료를 빼내 텔레그램 채널 운영자에게 전달했다”는 취지로 진술했다.

경찰은 성적자료 유출사건 발생 이후 파일의 유출 경로를 추적하고 경기도교육청 학력평가시스템 서버에 대한 접근기록 분석 등을 통해 A씨를 피의자로 특정해 지난달 23일 검거했다. 경찰은 또 A씨와 별개로 학력평가시스템 서버에 접근해 성적정보를 입수한 2명도 검거했다.

경찰 조사 결과 경기도교육청은 A씨가 서버를 해킹한 5개월 동안 피해를 인지하지 못한 것으로 드러났다. 또 정당한 관리자가 아니어도 서버의 파일에 접근해 다운로드를 할 수 있을 만큼 보안이 취약한 것으로 파악됐다. 보안장치를 뚫는 과정도 없이 직접 파일이 있는 경로에 접근해 다운로드를 받은 사례도 있었다.

경찰은 A씨를 포함해 경기도교육청 서버에 불법 침입한 피의자 4명, 유출된 성적 정보를 가공해 유포한 피의자 4명, 유포에 사용된 텔레그램 채널과 유사한 채널을 만들어 성적 정보를 판매하려 한 피의자 1명 등 모두 9명을 검거했다. 또 이 가운데 혐의가 무거운 A씨와 B씨를 구속했다.

한편 A씨 외에 해킹 혐의로 검거된 피의자 3명 역시 10대인 것으로 드러났다. A씨에 앞서 검거된 또 다른 해커 1명은 고교 3학년으로 3000여 차례에 걸쳐 서버에 불법 침입한 것으로 조사됐다. 다른 2명은 A씨와 동갑으로, 현재 대학교 1학년 학생이다. 이들은 서로 모르는 사이로 알려졌다.