사건 인지도 제보 통해 알게 돼… 경찰 신고도 제보 1시간 뒤에 이뤄져"삭제 시점 명확히 알 수 없어… 유출 36시간 후 비상상황실 운영 시작
  • ▲ 21일 경기 수원시 장안구 경기도교육청 남부청사 브리핑룸에서 한정숙(사진 오른쪽) 도교육청 제2부교육감과 김선경(왼쪽) 도교육청 진로직업정책과장이 전국연합학력평가 성적 자료 유출 관련 브리핑을 진행하고 있다.ⓒ뉴시스
    ▲ 21일 경기 수원시 장안구 경기도교육청 남부청사 브리핑룸에서 한정숙(사진 오른쪽) 도교육청 제2부교육감과 김선경(왼쪽) 도교육청 진로직업정책과장이 전국연합학력평가 성적 자료 유출 관련 브리핑을 진행하고 있다.ⓒ뉴시스
    경기도교육청이 지난해 11월 치러진 고등학교 2학년 전국연합학력평가(학평) 성적자료가 유출된 이후 10시간 동안 이를 파악하지 못했던 것으로 알려졌다. 사건을 인지한 것도 제보를 통해서였던 것으로 전해졌다. 

    경찰은 보안 취급자의 관리 소홀 여부로 수사 범위를 넓힐 계획이다.

    한국일보에 따르면, 경기도교육청은 21일 지난해 11월 치러진 고교 2학년 학평 성적자료 유출 경위를 설명했다.

    한정숙 경기도 제2부교육감은 유출된 자료와 관련해 "성적에 대한 민원 등이 있을 수 있어 성적 배포 이후 한두 달 정도 서버에 보관하고 있다"며 "더이상 민원이 없어 이번주 중 삭제하려고 했는데 유출됐다"고 밝혔다.  "삭제 시점은 명확히 알 수 없다"고 덧붙였다.

    실제로 학평 성적 업로드는 지난해 12월4일 이뤄졌고, 같은 달 12일부터 지난달 6일까지 학교별로 출력(확인)이 진행됐다.


    하지만 성적자료 유출 이후에도 경기도교육청의 대응은 신속하게 진행되지 않았다. 경기도교육청은 이날 배포한 자료에서 유출된 성적자료가 온라인에 올라온 시점이 19일 0시23분이라고 알렸다.

    그러나 경기도교육청이 유출 사실을 제보 받았다고 밝힌 시간은 당일 오전 10시28분이다. 10시간3분 동안 학평 응시생 27만 명의 이름·학교·학년·반·성별·성적표 등이 온라인상에 공개된 것이다.

    경찰 신고 시간도 제보 후인 19일 오전 11시23분에야 이뤄졌고, 2차 유출 피해를 막겠다면서 접속 경로를 차단한 시간은 오후 12시6분이었다.

    경기도교육청은 또 사건 인지 하루 뒤인 지난 20일 충남과 경남을 제외한 15개 시·도교육청에 관련 내용을 공유, 성적표 유출 36시간 후인 20일 오후 2시 비상상황실 운영을 시작했다.

    이와 관련, 경기도교육청 관계자는 한국일보에 "해킹 여부를 몰랐던 것은 사실이지만 유출됐다는 제보를 받은 뒤 사실 확인한 직후 곧바로 경찰에 신고했다"며 "해당 교육청에도 당일(일요일) 오후에 피해 사실을 알렸고 20일은 회의 한 것이며, 그날 오후 8시에 홈페이지에 유출 관련 팝업을 등재했다"고 해명했다.

    경기남부경찰청 사이버수사대는 성적자료가 담긴 서버를 대상으로 디지털포렌식 작업을 마치고 분석작업에 들어갔다. 

    경찰 관계자는 "포렌식한 결과물을 토대로 서버 로그 기록을 확인해 외부에서 침입했는지 내부에서 유출했는지 확인작업 중"이라고 말했다.

    이 관계자는 또 "개인정보보호법에 개인정보 취급자의 의무사항에 관리부분이 포함돼 있어 서버 보안책임자 등에 대한 관리 소홀 여부도 조사할 계획"이라고 밝혔다.