시도교육청 운영 전자도서관 해킹…전국 초중고생 85% 개인정보 유출

서버관리업체서 범행… 빼낸 정보 2억원에 넘겨

전국 초중고교생 10명 중 8명 이상의 개인정보가 해킹당하는 초유의 상황이 발생했다. 교육과학기술부와 전국 시도교육청이 운영하는 전자도서관시스템(DLS)의 서버를 관리하는 업체가 서버에 입력된 전국 9646개 초중고교, 학생 약 636만 명의 개인정보를 빼내 이 중 일부를 프로그램 개발업체에 팔아넘긴 것. 9646개교는 전국 초중고교(1만1310개교)의 85.2%로 사실상 국내 초중고교생 대부분이 개인정보 해킹 위험에 그대로 노출된 것이다.

DLS 사업을 총괄하는 교과부와 운영주체인 시도교육청은 학생들의 정보가 해킹되고 있다는 사실을 2년 넘게 파악하지 못하고 방치했다.

서울지방경찰청 사이버범죄수사대는 29일 교육청 DLS 서버를 해킹해 학생 636만여 명의 정보를 빼낸 뒤 이 중 652개 학교 64만9508명의 정보를 돈을 받고 판 컴퓨터 유지보수업체 대표 문모 씨(51) 등 4명과 훔친 정보를 이용해 독서통장 프로그램을 만들어 일선 학교에 판 프로그램개발업체 대표 이모 씨(39) 등 5명을 정보통신망이용촉진 및 정보보호 등에 관한 법률 위반 혐의로 불구속 입건했다.

경찰에 따르면 문 씨 등은 DLS 서버를 점검하다가 방화벽이 일시적으로 해제된 틈을 타 학생 정보를 유출하는 불법 프로그램을 설치하는 수법으로 2008년 3월부터 올해 5월까지 636만여 명의 정보를 빼낸 혐의다. 이 씨 등은 문 씨 등에게서 2억여 원을 주고 사들인 64만9508명의 정보를 이용해 독서교육 프로그램인 ‘독서통장 프로그램’을 만들어 전국 학교 652곳에 팔아 30억 원가량의 부당이득을 거둔 혐의를 받고 있다.

도서 대여 반납, 연체 이력을 관리하는 DLS는 광주시교육청을 제외한 전국 15개 시도교육청에 설치돼 있으며 학년, 반, 이름, e메일, 주소, 전화번호 등 학생들의 개인정보를 저장하고 있다. 독서통장 프로그램은 통장 모양의 소책자에 빌려 읽은 책 목록을 인쇄해 스스로 독서 학습 관리를 할 수 있도록 만든 프로그램.

경찰에 따르면 문 씨 등은 각 시도교육청과 한국교육학술정보원(KERIS) 등에 “DLS 관리상 필요하니 서버에 프로그램을 설치할 수 있는 권한을 달라”고 요구한 뒤 서버에 불법 프로그램을 설치했다. 이들은 이런 방식으로 빼낸 개인정보 중 일부를 이 씨 등에게 팔아 넘겼다. 울산시교육청 소속 229개 학교 19만4500여 명의 개인정보를 아예 자신들의 서버에 내려받아 저장해 놓기도 했다. 이 씨 등은 이렇게 빼낸 개인정보를 이용해 각 학교에 독서통장 프로그램을 만들어 학교당 500만∼1000만 원을 받고 팔았다.

경찰은 “광주를 제외한 전국 15개 시도교육청은 모두 같은 DLS를 쓰고 있기 때문에 거래가 이뤄지지 않았어도 서버에 저장된 개인정보가 유출된 것으로 봐야 한다”고 말했다.

이원주 기자 takeoff@donga.com