경기도교육청 학력평가시스템을 해킹해 지난해 11월 전국연합학력평가 성적 자료를 유출한 10대가 구속됐다. 이 학생은 우연히 서버에 접근하는 방법을 알게돼 범행을 저질렀다. 시스템 서버는 관련 지식이 없는 사람도 접근할 수 있을 정도로 허술하게 관리됐던 것으로 확인됐다.

경기남부경찰청 사이버수사과는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반(정보통신망 침입) 및 개인정보 보호법 위반 등 혐의로 대학생 A씨(18)를 구속했다고 1일 밝혔다. 학력평가시스템 서버에 침입해 성적정보를 탈취한 다른 피의자 B씨 등 2명도 검거해 조사 중이다.

A씨는 지난 2월 경기도교육청 학력평가시스템 서버에 침입해 2022년 11월 전국연합학력평가 고등학교 2학년 성적정보 27만여건을 탈취한 후 암호화 메신저 채널 관리자 C씨(20대)에게 전달한 혐의를 받는다. C씨가 관리하는 채널은 수험 정보를 공유하는 곳으로, 채널 참여자만 1만8000여명에 달하는 것으로 알려졌다.

A씨는 범행 당시 고등학교 3학년 학생이었으며 현재는 대학생이다. 우연히 경기도교육청 학력평가시스템 접속 방법을 알게 된 그는 자신의 성적을 확인하기 위해 지난해 10월 서버에 최초로 접속했다. 이후 5개월간 200여 차례에 걸쳐 경기도교육청 서버에 침입해 100회가량 자료를 불법 다운로드 받았다. 그는 경찰 조사에서 “실력을 과시할 목적으로 성적정보를 전달했다”고 진술했다.

경찰 조사 결과 경기도교육청의 학력평가시스템은 방법만 알면 접근할 수 있을 정도로 취약했던 것으로 파악됐다. 경찰 관계자는 “접근 경로만 알면 해킹에 관한 전문적인 지식이 없는 사람도 침입할 수 있었다”면서 “서버 취약점을 해당 기관에 안내했다”고 설명했다.

A씨는 경찰 수사를 피하고자 해외 IP를 사용하고 성적정보를 탈취한 후 암호화 메신저에서 탈퇴하는 등 치밀함을 보이기도 했다. 경찰은 이미 검거된 피의자들이 탈취한 파일의 유출경로를 분석하는 방법을 통해 A씨를 피의자로 특정해 검거했다.

이로써 경찰은 A씨를 포함해 경기도교육청 서버에 불법 침입한 피의자 4명, 유출된 성적 정보를 유포한 피의자 2명, 이를 재유포한 피의자 2명, 유포에 사용된 텔레그램 채널과 유사한 채널을 만들어 성적 정보를 판매하려 한 피의자 1명 등 총 9명을 검거했다.

경찰 관계자는 “타인의 정보통신망에 무단 침입하거나 인터넷에 개인정보를 유포하여 제3자에게 제공하는 행위뿐만 아니라 유출된 정보를 공유·전달·재가공하는 행위도 처벌될 수 있다”며 “성적정보를 내려받아 보관하고 있다면 반드시 삭제해달라”고 밝혔다.