전국 초 · 중 · 고 전자도서관 시스템 해킹

교육과학기술부에서 관리하는 전자도서 관리시스템이 해킹돼 전국 초 · 중 · 고생 636만명의 개인정보가 유출됐다.

서울지방경찰청 사이버범죄수사대는 29일 교육청 전자도서관시스템(DLS) 서버를 해킹, 학생 636만여명의 정보를 빼낸 후 이를 이용해 교육 프로그램을 만들어 일선 학교에 공급한 혐의(정보통신망이용촉진및정보보호등에관한법률 위반)로 문모씨, 이모씨 등 IT업체 7곳의 대표와 개발자 9명을 불구속 입건했다.

경찰에 따르면 컴퓨터 유지보수업체의 문씨 등 4명은 DLS 서버를 점검하다가 방화벽이 일시적으로 해제된 틈을 타 학생 정보를 유출하는 불법 프로그램을 설치하는 수법으로 지난 2008년 3월부터 올해 5월까지 636만여명의 정보를 빼낸 혐의를 받고 있다.

프로그램 개발업체의 사장 및 직원 5명은 문씨 등에게서 2억여원을 주고 사들인 정보를 이용해 독서 교육 프로그램인 `독서통장 프로그램`을 만들어 전국 학교 652곳에 팔아 30억원 상당의 부당이득을 거둔 혐의를 받고 있다.

도서대여 반납, 연체 이력을 관리하는 DLS는 광주시교육청을 제외한 전국 15개 시 · 도교육청 9646개 초 · 중 · 고에 설치돼 있으며 교직원과 학부형, 학생 등의 학년, 반, 이름, 이메일, 주소, 전화번호 등 상세한 개인정보를 저장하고 있다.

서울지방경찰청은 이 사업의 전반적인 관리감독권을 갖는 교육과학기술부의 관리감독 부실이 이번 사고를 낳았다고 지적했다.

경찰청 관계자는 “교육과학기술부에서 시 · 도교육청에 국고보조금을 교부하는 것 외에 실제 시스템이 어떻게 구동되는지에 대한 실질적인 관리가 소홀했다”며 “사업을 교과부에서 위탁받은 한국교육학술정보원도 문씨 등이 운영하는 I사와 O사를 유지보수사업자로 매년 선정하고서도 진행 상황을 제대로 확인하지 않아 학생의 정보가 대거 유출되도록 내버려두는 결과를 가져왔다”고 말했다.

또 경찰은 교육과학기술부, 한국교육학술정보원에서 이 같은 문제점을 인식해 보안 취약점이 있는 불법 연동 모듈을 제거하고, 이미 독서통장을 적용한 학교에서 사용할 수 있는 시스템을 개발해 추후 제공해야 한다고 제안했다. 더불어 경찰은 유지보수업체에서 직접 방화벽 등록 신청을 하지 못하도록 하는 등 절차의 문제점도 해소해야 할 것이라고 지적했다.

장윤정기자 linda@etnews.co.kr