1. 엑셀파일 구글 드라이브에 탑재 후 내려받도록 안내...암호 설정 해제돼 개인정보 유출
2. 선생님 957명의 이름, 소속학교, 지역, 휴대전화번호, 이메일 등 총 5개 항목 유출
3. 보안전문가, “개인정보 담긴 문서 외부 시스템으로의 공유 자체가 휴먼 에러”
[보안뉴스 김영명 기자] 유치원부터 초·중·고 대학 전 교육기관의 교육 및 학술연구분야의 정보화사업을 추진하는 한국교육학술정보원(이하 KERIS)에서 AI디지털교과서 수업설계안 개발 과정에 참여한 교원들의 개인정보가 유출된 것으로 드러났다.
▲KERIS에서 AI디지털교과서 수업설계안 개발 과정에 참여한 교원들의 개인정보 유출 위험 안내를 공지했다[자료=KERIS]
KERIS는 홈페이지를 통해 AI디지털교과서(이하 AIDT) 수업설계안 개발에 참여 중인 선생님들이 상호 피드백 그룹 정보 조회를 위한 엑셀파일을 구글 드라이브에 탑재하고, KERIS 연수원 공지사항을 통해 해당 구글드라이브에서 엑셀파일을 내려받도록 안내했다고 밝혔다.
KERIS는 “엑셀파일은 개인정보 보호를 위해 암호를 설정했으며, 선생님들은 수신 문자의 그룹 코드를 입력해 본인의 피드백 그룹 정보만 확인하도록 설계됐다”고 말했다. 하지만 여기에 문제가 있었던 것. KERIS는 “구글 드라이브에서 구글 스프레드 시트를 통해 열람 또는 다운로드할 경우 암호 설정이 해제되는 현상이 발생해 수업설계안 개발에 참여 중인 선생님 957명의 이름, 소속학교, 지역(시, 도), 휴대전화번호, 이메일 등 총 5개 항목의 개인정보가 보이는 것으로 12월 13일에 확인됐다”고 설명했다.
KERIS 측은 관련 사실을 확인한 즉시 구글 드라이브에 탑재한 엑셀파일을 삭제했으며, 피드백 그룹 조회는 별도의 메일을 통해 확인하도록 공지했다. 하지만 이미 올라가 있는 개인정보는 본인이 아닌 다른 교사들에게도 열람이 된 것으로 추정된다.
KERIS는 “AIDT 수업설계 개발에 참여 중인 선생님들 중 구글 스프레드 시트로 열람해 내려받은 경우 해당 파일을 삭제할 것을 요청드린다”며 “향후 개인정보 악용으로 의심되는 연락을 받거나 궁금 사항은 피해상담창구로 연락해주길 바란다”고 밝혔다. 이어 “예상치 못한 상황이 발생해 불편을 드린 점 송구스럽게 생각하며, 이 같은 사태가 재발하지 않도록 최선을 다하겠다”며 사과의 뜻을 밝혔다.
▲엑셀파일에 암호를 설정해 구글 드라이브에서 열었을 때의 화면, 구글 스프레드시트로 다른 이름으로 저장해도 비밀번호가 유지된다(좌부터)[자료=보안전문가]
이번 사건과 관련해 익명을 요청한 보안전문가는 “이번 사고를 살펴봤을 때 기본적으로 휴먼 에러로 인한 유출 사고로 보인다”고 말했다. 이 전문가는 “실제 어떤 문제점이 있는지 같은 방식으로 엑셀파일을 암호화해서 구글 드라이브에 올린 다음, 해당 파일을 열어보면 동일하게 비밀번호를 입력해야 하는 것으로 나온다”며 “또한, 다른 이름으로 저장해도 비밀번호 입력 설정은 그대로 유지되고 있다”고 설명했다.
만약 엑셀파일이 아니라 구글 스프레드시트에서 직접 파일을 작성하고 특정 사용자에 링크 공유와 잠김 기능을 사용했다면 설정 오류일 것이라는 게 해당 전문가의 설명이다. 아니라면 사용자가 엑셀 파일 자체에 비밀번호 설정을 잘못했을 가능성도 있다. 그는 “이번 오류는 근본적으로 내부 개인정보 문서를 외부 시스템을 통해 공유하는 방법 자체가 잘못된 것으로 휴먼 에러로 보는 것이 타당하다”고 덧붙였다.
또 다른 보안전문가는 “취약점은 항상 예기치 않은 곳에서 종종 발견된다”며 “기업이나 기관은 보안 취약점에 대해 유연하고 신속하게 대응하는 체계를 마련하고 대응하는 것이 중요하다”고 조언했다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>