성적 유출 총 296만 6,485건, 적지 않은 학생들 2회 이상 피해 입은 것으로 추정
피해 학생 27만 359명, 1인당 10만원 기준 총 270억 3,590만원 손배 청구 움직임도
경기도교육청, 사건 발생 이후 경기도 학력평가도구(GSAT) 폐쇄...평가원으로 관리 이관
[보안뉴스 김영명 기자] 경기도교육청(이하 도교육청)에서 주관한 전국연합학력평가의 성적 유출 사건 파문이 일파만파 커지고 있다. 전국연합학력평가(이하 학력평가)는 고등학생의 현재 학력 수준을 측정하기 위해 대학수학능력시험(이하 수능)의 모의고사 형식으로 치러지는 시험으로 2002년에 처음 시행됐다.
[이미지=utoimage]
시험 출제기관은 서울특별시교육청, 부산광역시교육청, 인천광역시교육청, 경기도교육청 등 네 곳이며, 해당 지역 교육청이 학력평가를 시행하기로 결정하면 관할 고교 학생이 시험을 보게 되고, 한국교육과정평가원(이하 평가원)이 채점을 하는 방식이다. 지난해를 기준으로 했을 때 3월(서울시교육청 주관, 1~3학년), 4월(경기, 3학년), 6월(부산, 1~2학년), 7월(인천, 1~2학년), 8월(인천, 1~2학년), 10월(서울, 3학년), 11월(경기, 1~2학년)에 지역 교육청 주관 시험이 열렸으며, 이와 별도로 6월과 8월, 11월에는 수능을 출제하는 평가원 주관으로 고3 대상 시험이 진행됐다.
이 과정에서 평가원은 11월에 진행되는 경기도교육청 주관 학력평가는 전국 단위 수능시험 일정과 겹쳐 처리가 불가능했다. 이에 따라 경기도교육청은 11월에 시행하는 학력평가의 성적 처리는 외부 업체에, 성적 업로드는 평가원에 위탁해 왔다. 그러다가 경기도교육청은 평가원 업무 분담의 일환으로 2017년부터 자체적으로 전국연합학력평가 시스템인 경기도 학력평가도구(GSAT : GYEONGGI Scholastic Ability Test)를 구축, 2018년 11월부터 시행한 학력평가부터 성적을 업로드하기 시작했다.
3년 간 296만 6,485건 유출...적지 않은 학생 2회 이상 피해도
평가원은 전국단위시험 통합정보시스템(이하 CSAT)을 운영하고 있다. CSAT은 학력평가, 수능 모의평가, 수능 응시원서 접수 및 온라인 모의고사 응시 시스템을 운영하고, 수능 성적 온라인 제공 및 수능 성적증명서 발급 등의 역할을 한다.
이러한 평가원 업무를 분담하기 위해 경기도교육청은 전국에서 유일하게 자체적인 성적 제공 시스템인 GSAT을 운영했지만, 이번에 성적 정보와 함께 응시 학생의 성명, 학교명, 학년, 반, 성별 등 개인정보가 유출되면서 논란이 커지게 된 것이다.
앞서 지난 3월 초에는 전남 순천지역 학생단체 김모 대표가 경기도교육청을 상대로 해당 지역 27만 360명과 함께 개인정보 유출 피해 보상으로 1인당 10만원을 책정, 총 270억 3,590만원의 손해배상액을 청구하는 내용증명을 보내기도 한 것으로 알려졌다. 도교육청 관계자는 해당 내용증명을 3월 4일 즈음에 받아 접수됐다고만 확인해줬다.
이번에 밝혀진 최종 피해 건수는 296만 6,485건이다. 도교육청이 앞서 발표한 내용에 따르면, 학력평가 성적 유출 피해자는 2019년 고1~3학년 그리고 2021~2022년 고1~3학년생이다. 2019년부터 2022년까지 4년 중에 2020년을 제외한 3년 간 1~3학년이 모두 피해를 입었다고 본다면, 최소한 2019년 고1은 2021년 고3으로, 2021년 고1과 고2는 2022년 고2와 고3으로 올라가면서 다시 한 번 피해를 더 입은 것으로 추정할 수 있다.
이에 대해 도교육청 관계자는 “그렇다. 같은 학생이 학년이 바뀌면서 또 한 번 피해를 입었다고 봐야 한다. 따라서 해당 ‘296만 6,485건’이라는 숫자는 ‘명’이 아니라 ‘건’으로 보는 것이 맞다”고 말했다. 하지만, 지난해를 기준으로 전국 고1, 고2, 고3 학생수를 봤을 때 학력평가 응시율과 유출률을 분석하기는 힘들었다. 이와 관련 해당 관계자는 “고3 학생은 시험 과목에서 ‘한국사’를 선택하지 않으면 아예 전체 성적이 제공되지 않고 합산 및 통계에도 반영되지 않는다”며 “시험 당일 결석 학생도 추산할 수 없고, 시험 중간에 퇴실하는 학생도 있다”고 말했다. 이어 “코로나19 유행으로 응시를 하지 않은 학교도 많으며, 응시한 학교 내에서도 응시하지 않은 학생도 있어 전체 응시율이나 유출률을 파악하기는 현실적으로 어렵다”고 덧붙였다.
해당 성적자료는 올해 2월 18일 처음으로 텔레그램에 업로드됐다. 또한, 인터넷 커뮤니티 포털 디시인사이드에서는 텔레그램에서 성적자료가 유출됐다는 내용의 글이 올라왔을 뿐, 성적자료가 업로드되지는 않았다. 지난해 11월 도교육청이 주관한 고2 학력평가 시험에는 충남교육청과 경남교육청 관할 내 학생들도 시험에 응시했으며, 이번에 추가로 밝혀진 3만 3,279건이 충남교육청과 경남교육청 학생의 유출된 성적 정보로 확인됐다.
고도화된 새 서버에 저장된 성적자료 유출...보관기간 무시한 탓
특히, 이번 성적 유출 사고는 2019년부터 시작됐지만, 2020년은 건너뛰고 2021년에서 2022년까지 3년에 걸쳐 일어났다. 도교육청은 학생 성적자료를 보관하는 서버를 2020년 12월까지는 기존의 서버를 사용하다가 2021년부터 기능이 고도화된 새로운 서버로 데이터를 옮겼다. 따라서 2021년과 2022년 성적은 새로운 서버에 저장했다가 데이터가 유출된 것이다.
해당 관계자는 “도교육청 내부적으로 학생 시험성적의 보관기간은 최종 확정된 성적표 출력 이후 한 달로 정해뒀지만, 이 지침이 전혀 지켜지지 않았다”며 “DB 서버에서는 정해진 기간 내 삭제한 것으로 알고 있지만 다른 서버에서는 그렇지 못했다”고 말했다.
도교육청은 입장문에서 유출 시점을 ‘2021년 6월 1일 이후’라고 특정했다. 지금까지 유출된 9회의 시험을 살펴보면, 2021년 6월 이전 치러진 시험은 4건, 그 이후 치러진 시험은 5건이다. 다만, 도교육청은 2021년 6월 시점의 로그 기록을 확인했지만, 전체 몇 회에 걸쳐 언제 시점에 공격을 받았는지는 밝혀내지 못했다고 말했다.
도교육청은 해당 사고 발생 이후 경기도 학력평가도구(GSAT)를 곧바로 폐쇄했다. 현재도 해당 사이트는 접속되지 않으며, 다시는 사용하지 않기로 결정했다. 이 관계자는 “이번 사고의 핵심은 GSAT의 취약점 문제로 인한 것으로 파악됐다”며 “지금까지 경기도가 평가원의 업무 분담을 위해 자체 진행하던 11월 시험도 최대한 수능 일정과 시간적 거리를 두고 일정을 잡으면서 평가원에 재이관해 진행할 예정”이라고 밝혔다.
▲경기도교육청이 주관했던 ‘전국연합학력평가 온라인 시스템’, 현재는 폐쇄됐다[자료=경기도교육청]
향후 도교육청 주관 학력평가 시험, 어떻게 변화되나
이번 사건이 공론화된 지 일주일 만인 5월 10일 학력평가가 치러졌다. 이번 시험은 원래 지난 달에 치러져야 했지만, 사고 여파로 한달이 미뤄졌다. 또한, 11월 시험도 올해는 12월에 치른다. 시험은 도교육청에서 주관하지만, 성적 관리 등 모든 것은 도교육청이 아닌 평가원이 관리하는 전국단위시험 통합정보시스템(CSAT)에 입력해 열람하는 시스템으로 변경된다. 이 관계자는 “시험 응시자에 대한 개인정보 보호는 평가원에 위탁하게 되고, 도교육청과 개인정보보호위원회 간 계약조건에 따라 개인정보 파일 등록 및 삭제 관련해서는 철저한 관리를 요청해둔 상태”라고 밝혔다.
또한, 사고 전까지만 하더라도 학생들의 성적 자료 열람 및 출력 기간은 1개월로 설정하고 있지만, 사고 이후 전국시도교육감협의회를 통해 이 시간을 모든 교육청에서 2주로 단축시켰다. 이와 함께 성적이 최종 확정 처리된 이후 이틀이 지나면 모든 성적 자료를 파기함으로써 논란을 사전에 차단하기로 결정했다.
전국시도교육감협의회, 결의문 통해 3가지 요구사항 발표
이번 사건과 관련해 전국시도교육감협의회(이하 협의회)는 경기도교육청 성적 유출사고가 발생한 지 일주일이 지난 2월 27일 결의문을 통해 잇따른 성적 유출과 관련된 범법 행위자에 대한 처리 등 3가지를 요구했다. 첫 번째는 범법 행위자를 향한 목소리로 “유출된 성적 자료를 가진 분들은 그 자료의 확산과 재가공이 초래할 수많은 학생과 학부모의 상처와 고통을 생각해 유포를 자제하고, 즉각 삭제하기 바란다”며 “특히, 이를 영리행위에 활용하는 행위는 심각한 범죄가 될 수 있음을 분명히 인지해야 할 것”이라고 말했다.
두 번째는 사회관계망서비스 운영진을 대상으로 “텔레그램 등 SNS 매체는 성적 자료가 유포되는 채널과 단체방을 즉각 폐쇄하고 운영자 제재 등 적극적인 조처를 요청한다”며, “특히, 일부 유포 채널은 일정 구독자 수를 달성하면 추가 자료를 유출하겠다는 등 마케팅으로 활용하는 상황에서 ‘결코 불법적인 회원 수 늘리기는 불가능하다’는 메시지를 전한다”고 강조했다.
또한, 협의회는 국회 및 관계부처에도 목소리를 냈다. 협의회는 “개인정보를 유출하면 ‘개인정보 보호법’, ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 등 관계법에 따라 처벌받는다는 것은 주지의 사실”이라며 “그러나 이미 유포된 정보를 재가공 및 재유포하는 행위도 처벌되지만 너무도 가볍게 보고 있다”고 말했다. 이에 “2차, 3차 피해에 대해 더욱 구체적인 처벌규정을 마련해 사회적 경종을 울려주길 요청한다”며 즉각적인 대안입법 논의를 요청했다.
한편, 학교교육을 총괄하는 교육부의 정보보호팀 관계자는 “각 부서, 기관에서 정보화사업을 추진하면서 정보보안 사각지대가 나오고 있다”며 “현재 정보화사업과 함께 취약점 점검 전수조사를 시행하고 있고, 담당 직원 교육도 진행할 예정”이라고 말했다. 이어 “기존에 기관별 담당자 중 정보보안 쪽에 미흡한 담당자는 별도의 보안관련 교육을 시행하고, 취약점 점검을 위한 교육부 차원의 가이드를 마련하는 것도 검토 중”이라고 덧붙였다.
[김영명 기자(boan@boannews.com)]
피해 학생 27만 359명, 1인당 10만원 기준 총 270억 3,590만원 손배 청구 움직임도
경기도교육청, 사건 발생 이후 경기도 학력평가도구(GSAT) 폐쇄...평가원으로 관리 이관
[보안뉴스 김영명 기자] 경기도교육청(이하 도교육청)에서 주관한 전국연합학력평가의 성적 유출 사건 파문이 일파만파 커지고 있다. 전국연합학력평가(이하 학력평가)는 고등학생의 현재 학력 수준을 측정하기 위해 대학수학능력시험(이하 수능)의 모의고사 형식으로 치러지는 시험으로 2002년에 처음 시행됐다.
[이미지=utoimage]
시험 출제기관은 서울특별시교육청, 부산광역시교육청, 인천광역시교육청, 경기도교육청 등 네 곳이며, 해당 지역 교육청이 학력평가를 시행하기로 결정하면 관할 고교 학생이 시험을 보게 되고, 한국교육과정평가원(이하 평가원)이 채점을 하는 방식이다. 지난해를 기준으로 했을 때 3월(서울시교육청 주관, 1~3학년), 4월(경기, 3학년), 6월(부산, 1~2학년), 7월(인천, 1~2학년), 8월(인천, 1~2학년), 10월(서울, 3학년), 11월(경기, 1~2학년)에 지역 교육청 주관 시험이 열렸으며, 이와 별도로 6월과 8월, 11월에는 수능을 출제하는 평가원 주관으로 고3 대상 시험이 진행됐다.
이 과정에서 평가원은 11월에 진행되는 경기도교육청 주관 학력평가는 전국 단위 수능시험 일정과 겹쳐 처리가 불가능했다. 이에 따라 경기도교육청은 11월에 시행하는 학력평가의 성적 처리는 외부 업체에, 성적 업로드는 평가원에 위탁해 왔다. 그러다가 경기도교육청은 평가원 업무 분담의 일환으로 2017년부터 자체적으로 전국연합학력평가 시스템인 경기도 학력평가도구(GSAT : GYEONGGI Scholastic Ability Test)를 구축, 2018년 11월부터 시행한 학력평가부터 성적을 업로드하기 시작했다.
3년 간 296만 6,485건 유출...적지 않은 학생 2회 이상 피해도
평가원은 전국단위시험 통합정보시스템(이하 CSAT)을 운영하고 있다. CSAT은 학력평가, 수능 모의평가, 수능 응시원서 접수 및 온라인 모의고사 응시 시스템을 운영하고, 수능 성적 온라인 제공 및 수능 성적증명서 발급 등의 역할을 한다.
이러한 평가원 업무를 분담하기 위해 경기도교육청은 전국에서 유일하게 자체적인 성적 제공 시스템인 GSAT을 운영했지만, 이번에 성적 정보와 함께 응시 학생의 성명, 학교명, 학년, 반, 성별 등 개인정보가 유출되면서 논란이 커지게 된 것이다.
앞서 지난 3월 초에는 전남 순천지역 학생단체 김모 대표가 경기도교육청을 상대로 해당 지역 27만 360명과 함께 개인정보 유출 피해 보상으로 1인당 10만원을 책정, 총 270억 3,590만원의 손해배상액을 청구하는 내용증명을 보내기도 한 것으로 알려졌다. 도교육청 관계자는 해당 내용증명을 3월 4일 즈음에 받아 접수됐다고만 확인해줬다.
이번에 밝혀진 최종 피해 건수는 296만 6,485건이다. 도교육청이 앞서 발표한 내용에 따르면, 학력평가 성적 유출 피해자는 2019년 고1~3학년 그리고 2021~2022년 고1~3학년생이다. 2019년부터 2022년까지 4년 중에 2020년을 제외한 3년 간 1~3학년이 모두 피해를 입었다고 본다면, 최소한 2019년 고1은 2021년 고3으로, 2021년 고1과 고2는 2022년 고2와 고3으로 올라가면서 다시 한 번 피해를 더 입은 것으로 추정할 수 있다.
이에 대해 도교육청 관계자는 “그렇다. 같은 학생이 학년이 바뀌면서 또 한 번 피해를 입었다고 봐야 한다. 따라서 해당 ‘296만 6,485건’이라는 숫자는 ‘명’이 아니라 ‘건’으로 보는 것이 맞다”고 말했다. 하지만, 지난해를 기준으로 전국 고1, 고2, 고3 학생수를 봤을 때 학력평가 응시율과 유출률을 분석하기는 힘들었다. 이와 관련 해당 관계자는 “고3 학생은 시험 과목에서 ‘한국사’를 선택하지 않으면 아예 전체 성적이 제공되지 않고 합산 및 통계에도 반영되지 않는다”며 “시험 당일 결석 학생도 추산할 수 없고, 시험 중간에 퇴실하는 학생도 있다”고 말했다. 이어 “코로나19 유행으로 응시를 하지 않은 학교도 많으며, 응시한 학교 내에서도 응시하지 않은 학생도 있어 전체 응시율이나 유출률을 파악하기는 현실적으로 어렵다”고 덧붙였다.
해당 성적자료는 올해 2월 18일 처음으로 텔레그램에 업로드됐다. 또한, 인터넷 커뮤니티 포털 디시인사이드에서는 텔레그램에서 성적자료가 유출됐다는 내용의 글이 올라왔을 뿐, 성적자료가 업로드되지는 않았다. 지난해 11월 도교육청이 주관한 고2 학력평가 시험에는 충남교육청과 경남교육청 관할 내 학생들도 시험에 응시했으며, 이번에 추가로 밝혀진 3만 3,279건이 충남교육청과 경남교육청 학생의 유출된 성적 정보로 확인됐다.
고도화된 새 서버에 저장된 성적자료 유출...보관기간 무시한 탓
특히, 이번 성적 유출 사고는 2019년부터 시작됐지만, 2020년은 건너뛰고 2021년에서 2022년까지 3년에 걸쳐 일어났다. 도교육청은 학생 성적자료를 보관하는 서버를 2020년 12월까지는 기존의 서버를 사용하다가 2021년부터 기능이 고도화된 새로운 서버로 데이터를 옮겼다. 따라서 2021년과 2022년 성적은 새로운 서버에 저장했다가 데이터가 유출된 것이다.
해당 관계자는 “도교육청 내부적으로 학생 시험성적의 보관기간은 최종 확정된 성적표 출력 이후 한 달로 정해뒀지만, 이 지침이 전혀 지켜지지 않았다”며 “DB 서버에서는 정해진 기간 내 삭제한 것으로 알고 있지만 다른 서버에서는 그렇지 못했다”고 말했다.
도교육청은 입장문에서 유출 시점을 ‘2021년 6월 1일 이후’라고 특정했다. 지금까지 유출된 9회의 시험을 살펴보면, 2021년 6월 이전 치러진 시험은 4건, 그 이후 치러진 시험은 5건이다. 다만, 도교육청은 2021년 6월 시점의 로그 기록을 확인했지만, 전체 몇 회에 걸쳐 언제 시점에 공격을 받았는지는 밝혀내지 못했다고 말했다.
도교육청은 해당 사고 발생 이후 경기도 학력평가도구(GSAT)를 곧바로 폐쇄했다. 현재도 해당 사이트는 접속되지 않으며, 다시는 사용하지 않기로 결정했다. 이 관계자는 “이번 사고의 핵심은 GSAT의 취약점 문제로 인한 것으로 파악됐다”며 “지금까지 경기도가 평가원의 업무 분담을 위해 자체 진행하던 11월 시험도 최대한 수능 일정과 시간적 거리를 두고 일정을 잡으면서 평가원에 재이관해 진행할 예정”이라고 밝혔다.
▲경기도교육청이 주관했던 ‘전국연합학력평가 온라인 시스템’, 현재는 폐쇄됐다[자료=경기도교육청]
향후 도교육청 주관 학력평가 시험, 어떻게 변화되나
이번 사건이 공론화된 지 일주일 만인 5월 10일 학력평가가 치러졌다. 이번 시험은 원래 지난 달에 치러져야 했지만, 사고 여파로 한달이 미뤄졌다. 또한, 11월 시험도 올해는 12월에 치른다. 시험은 도교육청에서 주관하지만, 성적 관리 등 모든 것은 도교육청이 아닌 평가원이 관리하는 전국단위시험 통합정보시스템(CSAT)에 입력해 열람하는 시스템으로 변경된다. 이 관계자는 “시험 응시자에 대한 개인정보 보호는 평가원에 위탁하게 되고, 도교육청과 개인정보보호위원회 간 계약조건에 따라 개인정보 파일 등록 및 삭제 관련해서는 철저한 관리를 요청해둔 상태”라고 밝혔다.
또한, 사고 전까지만 하더라도 학생들의 성적 자료 열람 및 출력 기간은 1개월로 설정하고 있지만, 사고 이후 전국시도교육감협의회를 통해 이 시간을 모든 교육청에서 2주로 단축시켰다. 이와 함께 성적이 최종 확정 처리된 이후 이틀이 지나면 모든 성적 자료를 파기함으로써 논란을 사전에 차단하기로 결정했다.
전국시도교육감협의회, 결의문 통해 3가지 요구사항 발표
이번 사건과 관련해 전국시도교육감협의회(이하 협의회)는 경기도교육청 성적 유출사고가 발생한 지 일주일이 지난 2월 27일 결의문을 통해 잇따른 성적 유출과 관련된 범법 행위자에 대한 처리 등 3가지를 요구했다. 첫 번째는 범법 행위자를 향한 목소리로 “유출된 성적 자료를 가진 분들은 그 자료의 확산과 재가공이 초래할 수많은 학생과 학부모의 상처와 고통을 생각해 유포를 자제하고, 즉각 삭제하기 바란다”며 “특히, 이를 영리행위에 활용하는 행위는 심각한 범죄가 될 수 있음을 분명히 인지해야 할 것”이라고 말했다.
두 번째는 사회관계망서비스 운영진을 대상으로 “텔레그램 등 SNS 매체는 성적 자료가 유포되는 채널과 단체방을 즉각 폐쇄하고 운영자 제재 등 적극적인 조처를 요청한다”며, “특히, 일부 유포 채널은 일정 구독자 수를 달성하면 추가 자료를 유출하겠다는 등 마케팅으로 활용하는 상황에서 ‘결코 불법적인 회원 수 늘리기는 불가능하다’는 메시지를 전한다”고 강조했다.
또한, 협의회는 국회 및 관계부처에도 목소리를 냈다. 협의회는 “개인정보를 유출하면 ‘개인정보 보호법’, ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 등 관계법에 따라 처벌받는다는 것은 주지의 사실”이라며 “그러나 이미 유포된 정보를 재가공 및 재유포하는 행위도 처벌되지만 너무도 가볍게 보고 있다”고 말했다. 이에 “2차, 3차 피해에 대해 더욱 구체적인 처벌규정을 마련해 사회적 경종을 울려주길 요청한다”며 즉각적인 대안입법 논의를 요청했다.
한편, 학교교육을 총괄하는 교육부의 정보보호팀 관계자는 “각 부서, 기관에서 정보화사업을 추진하면서 정보보안 사각지대가 나오고 있다”며 “현재 정보화사업과 함께 취약점 점검 전수조사를 시행하고 있고, 담당 직원 교육도 진행할 예정”이라고 말했다. 이어 “기존에 기관별 담당자 중 정보보안 쪽에 미흡한 담당자는 별도의 보안관련 교육을 시행하고, 취약점 점검을 위한 교육부 차원의 가이드를 마련하는 것도 검토 중”이라고 덧붙였다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
