학력평가성적 296만건 추가 유출, 구멍난 경기도교육청[종합]

2일 경기도교육청에서 임태희 경기도교육감이 2019년, 2021년, 2022년 전국연합학력평가 성적자료 추가 유출 사태에 대한 긴급 기자회견을 하고 있다.(사진=경기도교육청)

[수원=이데일리 황영민 기자]2019년과 2021년, 2022년 3년간 실시된 전국연합학력평가 성적자료가 추가 유출된 것으로 확인됐다. 현재까지 추산되는 유출 규모만 296만여 건에 달한다.

이에 경기도교육청을 비롯한 전국 시도교육청은 교육청 학력평가 온라인시스템을 폐쇄하고, 당초 4월과 11월 진행됐던 연합학력평가를 5월과 12월로 연기하기로 했다.

4일 임태희 경기도교육감은 긴급 기자회견을 열고 이 같은 성적유출 사태를 밝힌 뒤 사과와 재발방지책을 발표했다.

2019년, 2021년, 2022년 학력평가 성적도 유출.. 온라인 유포 아직 확인 안돼

전국연합학력평가 성적자료 유출 사태는 앞서 지난 2월 19일 온라인 커뮤니티를 통해 지난해 11월 치러진 학력평가에 응시한 전국 고2 학생 27만여 명의 성적과 소속 학교, 이름, 성별 등이 담긴 자료가 유포되면서 불거졌다.

사건을 맡은 경기남부경찰청 중간수사 결과 해당 자료 유출은 해킹에 의한 소행으로 밝혀졌으며, 경찰은 텔레그램방을 통해 최초 유포한 혐의(정보통신망법 위반)로 20대 남성 A씨를 구속하고, 해당 채널 운영자인 B씨 등 5명을 검거해 수사 중이다.

경기도교육청 서버에서 불법으로 자료를 빼간 해킹범은 현재 경찰이 추적하고 있다.

문제는 경기도교육청 서버가 해킹 당한 사태가 이번 한 번이 아니라는 점이다.

경찰 수사에서 이들 외에도 경기도교육청 학력평가시스템의 보안취약점을 이용, 각종 정보를 해킹해 소지한 혐의뢰 10대 청소년 C군을 검거되면서다. 검찰은 C군 외에도 도교육청 정보를 빼내간 다른 피의자들도 추적 중이다.

실제 이날 임태희 교육감은 “지난 5월 2일 교육부로부터 전달받은 조사결과 2019년, 2021년, 2022년에 실시한 4월 및 11월 학력평가 응시학생의 성적자료가 추가 유출됐다”며 “유출된 자료의 온라인 유포는 확인되지 않았으나, 유출 규모는 290여만 건으로 추산된다”고 밝혔다.

그러면서 “경기도교육청은 개인정보보호법에 따라 관계기관 및 정보주체에 대하여 개인정보 유출 사실을 신고하고 홈페이지에 통지했다”고 덧붙였다.

임 교육감은 이어 “학생을 보호할 책임이 있는 교육청에서 오히려 큰 상처를 드린 점에 대해 교육감으로서 무거운 책임을 느낀다”며 고개 숙여 사과했다.

경기도교육청에 따르면 추가 유출된 개인정보 규모는 2019년 110만6079명, 2021년 93만2681명, 2022년 92만7725명 등 총 296만6486명의 당시 4월과 11월 학력평가에 응시한 학생의 성적과 소속 학교, 이름, 성별 등인 것으로 파악됐다.

연도별로는 △2019년 4월 고3 38만3947명, 11월 고2 35만1783명·고1 37만349명 △2021년 4월 고3 31만6423명, 11월 고2 30만7349명·고1 30만8909명 △2022년 4월 고3 28만9285명, 11월 고2 30만3639명·고1 33만4801명 등이다.

여기에는 지난 2월 온라인을 통해 유포된 2022년 11월 학력평가 응시 고2 학생 27만 건의 자료도 포함돼 있다.

경기도교육청 개발 GSAT 취약점 드러나.. 폐쇄 및 재발방지책 추진

교육부 조사 결과 이번 전국연합학력평가 성적 자료 유출사태의 원인은 경기도교육청이 2017년부터 직접 개발해 사용 중인 ‘학력평가 온라인시스템’(GSAT)의 보안 취약성에 있는 것으로 드러났다.

교육청 관계자는 “교육부를 통해 이번 성적자료 해킹은 GSAT 홈페이지 공용게시판을 통해 인증우회 취약점을 이용해 자료가 유출된 것으로 전달받았다”고 밝혔다.

경기도교육청은 수능이 치러지는 11월 한국교육과정평가원에 학력평가 업무를 맡기기 어려운 까닭에 2017년부터 자체 시스템인 GSAT을 개발해 매년 4월과 11월 학력평가를 주관해왔다.

하지만 이 GSAT은 지난 경찰 수사에서도 한 고등학생이 3000회 이상 불법 접속해 자료를 빼간 사실이 밝혀지며 보안취약성이 여실히 나타났다.

이에 경기도교육청은 GSAT을 즉각 폐쇄하고, 경기도의회와 국회에 해킹으로 인한 불법자료 2차 유포 등에 대한 처벌규정을 강화해 달라는 내용의 개인정보보호법 보완 입법을 요청 중이다.

아울러 매년 4월과 11월 경기도교육청이 주관한 학력평가를 올해는 5월과 12월로 미루고 한국교육과정평가원에 위탁하기로 했다.

또 업무망과 인터넷망을 분리하고 외주용역업체 시스템별 접근통제를 도입하는 등 개인정보처리시스템 보호 대책 강화, 부서별 개인정보보호 담당자가 참여하는 ‘정보보호 협의체’ 구성 등 재발방지대책을 내놨다.

아울러 경기도교육청은 GSAT 구축 과정 전반에 대한 자체 감사를 진행하고 있다.

임태희 교육감은 “어떠한 의혹과 의문도 남지 않도록 관련 경위를 철저히 조사해 문제가 드러난 부분은 과감히 도려내고 엄중하게 책임을 묻겠다”며 “경기도교육청은 과거의 실수를 반복하지 않고 학생들이 또다시 상처받지 않도록 모든 노력을 다할 것을 약속한다”며 재차 고개를 숙였다.