‘전국학력평가 자료 유출 사건’ 주범 10대 대학생 구속

[전승표 기자(sp4356@hanmail.net)]
지난 2월 발생한 ‘‘2022학년도 11월 전국연합학력평가 응시생 개인정보 유출 사건’의 주범이 경찰에 붙잡혔다.

경기남부경찰청 사이버수사과는 정보통신망 이용 촉진 및 정보보호 등에 관한 법률 위반(정보통신망 침입)과 개인정보보호법 위반 혐의로 A(19)씨를 구속했다고 1일 밝혔다.

▲경기남부경찰청. ⓒ프레시안(전승표)

경찰은 A씨 외에도 경기도교육청 서버에 불법 침입한 3명과 유출 성적 정보를 가공해 유포한 2명을 비롯해 가공된 성적 정보를 재유포한 2명 및 성적 정보를 판매한 1명 등 8명을 검거, 이 가운데 해당 정보를 텔레그램에 유포한 B씨도 함께 구속했다.

A씨를 포함해 해킹 혐의로 검거된 피의자 4명은 모두 10대(고등학생 1명, 대학생 3명)였다.

국내 한 대학교 컴퓨터 관련 학부 1학년에 재학 중인 A씨는 지난 2월 18일 경기도교육청이 자체 개발한 ‘학력평가 온라인시스템(GSAT)’ 서버에 불법 침입해 지난해 11월 치러진 전국연합학력평가 고등학교 2학년 성적 정보를 해킹(Hacking·컴퓨터 네트워크의 취약한 보안망에 불법적으로 접근하거나 정보 시스템에 유해한 영향을 끼치는 행위)하는 방법으로 자료를 빼낸 뒤 수험 정보를 공유하는 텔레그램 대화방인 ‘핑프방’ 운영자 B씨에게 전달한 혐의를 받고 있다.

A씨는 이 사건을 포함해 지난해 10월부터 5개월간 200여 차례에 걸쳐 여러 개의 해외 IP를 이용해 도교육청 서버에 침입, 100여 회에 걸쳐 자료를 빼돌린 혐의도 받는다.

그가 해킹한 자료는 대부분 성적 분석 자료와 시험 문항지 등이었으며, 이 중에는 지난해 4월 치러진 전국연합학력평가 고등학교 3학년 성적 정보도 포함된 것으로 조사됐다.

경찰은 먼저 검거된 피의자들이 소지하고 있던 파일의 유출 경로를 추적하는 동시에 서버 로그 기록 등에 대한 분석을 실시, A씨를 피의자로 특정한 뒤 체포영장을 발부받아 지난달 23일 검거했다.

A씨는 "우연히 서버의 취약점을 발견하고 성적 정보를 빼냈다"며 "이후에는 실력을 과시하고 싶어 텔레그램 채널 운영자에게 유출한 자료를 전달했다"는 취지의 진술을 한 것으로 전해졌다.

다른 해킹 피의자들 역시 서버에 불법 침입할 때 특별한 해킹 프로그램이 아닌, 서버의 취약점을 이용했던 것으로 확인됐다.

▲경기도교육청 광교신청사 전경. ⓒ경기도교육청

B씨 등 성적 정보 유포·재유포 피의자 4명은 성적 정보를 가공하고, 텔레그램 채널과 인터넷 커뮤니티에 유포한 것으로 파악됐다.

경찰 관계자는 "이번 사건이 불거지기 전까지 도교육청은 5개월 동안 A씨가 학력평가시스템 서버에 불법 침입한 사실을 전혀 인지하지 못했던 상태"라며 "이번 수사를 통해 파악된 보안상 취약점들에 대한 보완의 필요성을 도교육청에 전달했다"고 말했다.

이어 "타인의 정보통신망에 무단 침입하거나 인터넷에 개인정보를 유포해 제3자에게 제공하는 행위를 비롯해 유출된 정보를 공유·전달·재가공하는 행위도 처벌 대상"이라며 "성적정보를 내려받아 보관하고 있다면, 반드시 삭제해달라"고 덧붙였다.

한편, 전국학력평가 자료 유출 사건은 지난 2월 19일 0시 24분 한 인터넷 커뮤니티에 "교육청 서버를 해킹해 성적표 전체를 확인했다"는 내용의 글이 게시되면서 알려졌다.

실제 해당 글이 게시되기 이전인 2월 18일 오후 10시 30분께 한 텔레그램 채널을 통해 ‘2학년 개인성적표 전체’라는 제목의 파일이 유포된 사실도 포착됐다.

700Mb 분량의 압축파일 내에 담긴 자료에는 ‘2022학년도 11월 고2 전국연합학력평가’에 응시한 전국 고등학교 2학년 학생 30여만 명 가운데 경남과 충남을 제외한 전국 15개 시·도교육청 학생 27만여 명의 이름과 소속 학교를 비롯해 시험 성적 및 성별 등이 포함됐다.

▲교육부 조사를 통해 추가로 유출이 확인된 개인정보 규모. ⓒ경기도교육청

특히 해당 사건이 확인된 뒤 진행된 교육부의 조사 결과 도교육청 서버에서는 지난해 11월 27만여 명의 자료를 포함, 2019·2021·2022년 자료 290여만 건의 유출사실이 추가로 확인된 바 있다.

유출된 자료는 △2019년 4월 고3= 38만3947명 △2019년 11월 고2= 35만1783명 △2019년 11월 고1= 37만349명 △2021년 4월 고3= 31만6423명 △2021년 11월 고2= 30만7349명 △2021년 11월 고1= 30만8909명 △2022년 4월 고3= 28만9285명 △2022년 11월 고2= 30만3639명 △2022년 11월 고1= 33만4801명 등 296만6485명의 학생 성적 파일(응시 학생의 학교명, 학년, 반, 성명, 성별, 성적자료)이다.

[전승표 기자(sp4356@hanmail.net)]

- Copyrights ©PRESSian.com 무단전재 및 재배포금지 -