교과부 서버 해킹…600만 학생정보 유출

전국에 있는 9천 개 이상의 초·중·고등학교 학생 600만여 명의 개인정보가 유출된 정황이 드러났다.

서울지방경찰청 사이버범죄수사대는 교육과학기술부가 관리하는 초·중·고 전자도서관 시스템(DLS) 서버를 해킹한 혐의로 전자도서관 시스템 유지보수 전문업체 관계자 등 5명을 정보통신망이용촉진및정보보호등에관한법률 위반 혐의로 입건했다고 29일 발표했다.

서울청 사이버수사대에 따르면 전자도서관 시스템 유지보수 전문업체인 I사와 O사는 15개 시·도교육청 50여 개 전자도서관 서버에 웹브라우저로 개인정보를 출력시키는 불법 연동 프로그램을 설치했다. 두 회사는 학생 도서대출반납이력 등 개인정보를 독서통장 사업자에 제공하고 2억원 상당의 수익을 올렸다.

D사 등 독서통장 사업자는 시도교육청의 허가 없이 유지보수 업체로부터 학생 개인정보를 받아 전국 652개 학교를 상대로 독서통장 프로그램을 판매해 30억원 상당의 수익을 거뒀다. 독서통장 프로그램을 구입해 사용한 학교는 초등학교 616곳, 중학교 30곳, 고등학교 6곳이다.

전자도서관은 광주교육청을 제외한 전국 15개 시·도교육청에서 설치해 사용해왔다. 교직원, 학부형 및 학생의 학년, 반, 이름, 이메일, 주소, 전화번호 등 개인정보를 저장하고 있다. 전국에 있는 636만6천39명의 초· 중·고 학생의 개인정보를 포함한다. 독서통장 프로그램은 지난 2008년 3월 제주에 있는 한 초등학교에서 처음 설치했고, 그 뒤 전국에 있는 652개 학교로 번졌다.

독서통장 프로그램을 사용하는 학생은 자신이 빌리고 반납한 도서 목록을 은행 통장에 금액이 찍히는 것처럼 보고 확인할 수 있다.

독서통장 프로그램을 판매한 업체는 정부에서 관리하는 학생의 개인정보를 저장한 시스템에 정부 승인 없이 유지보수 명목으로 접근해 상업성 프로그램을 판매하고자 연동 프로그램을 설치했다는 비판을 피하기 어렵다.

특히 유지보수 업체에서 저장하지 않아야 할 울산교육청 산하 226개 학교의 학생 개인정보가 해당 업체 서버에 저장돼 있는 것으로 나타나 전자도서관 시스템에 저장돼 있는 모든 학교의 학생 개인정보가 유출될 가능성도 점쳐진다.

교과부는 전자도서관 개발과 유지보수를 위한 국고보조금을 교부하는 등 전반적인 사항을 총괄하고 있음에도 시스템이 어떻게 구동되고 있는지에 대한 관리에 소홀했다는 지적을 받고 있다.

각 시·도교육청 역시 전자도서관 시스템을 구축 및 운영하고 있으면서 각 학교에서 도입한 독서통장의 존재 여부, 전자도서관 시스템과 연동 사실 등을 간과했다는 눈초리를 받고 있다.

교과부 관계자는 "전자도서관 시스템을 유지보수하는 업체가 교과부에 아무런 말도 없이 독서통장 프로그램 사업자에 상업적 목적으로 시스템과 연동할 수 있도록 했다"며 "기술적인 부분이라 사전에 알아차리지 못했다"고 말했다.

이어 "이 사안에 대해 지난 5월쯤 알았고, 불법으로 연동한 독서통장 프로그램은 걷어냈으며 한국교육학술정보원과 함께 새 프로그램으로 대체했다"며 "9천600여 학교가 대상이 아니라 독서통장 프로그램을 구입해 사용해온 학교 학생의 대여 도서 목록 정보 등이 유출됐을 가능성이 있다"고 덧붙였다.

김도윤 기자의 다른 기사 보기