경기인저널이 지난 5월 최근 3년(2019~2022) 동안 약 290만 건의 성적정보가 유출된 사실에 대해 ‘경기도교육청 ‘성적정보관리’ 우려 크다‘는 사설을 게재한 후 얼마 지나지 않아 경기남부경찰청 사이버수사과가 수사 관련 내용을 밝혔다.

경찰 발표에 따르면, 성적정보를 해킹한 범인이 대학교 컴퓨터 관련 학부 1학년 재학생 A씨며, 서버에 5개월 간 200여 차례에 걸쳐 들락날락했으나 교육청은 전혀 눈치 채지 못했다.

서버를 대상으로 한 이 같은 해킹은 1명이 아니라 3명이 더 있어 총 4명이 해킹을 했고, 해킹으로 얻은 정보를 받은 텔레그램 운영자는 이 정보를 판매하려는 시도도 있었던 것으로 나타났다.

우리는 경기남부청 수사 내용을 살펴보면서 놀라움을 금치 못할 상황에 직면했다. 경기도교육청이 수백 차례에 걸쳐 해커가 서버에 불법 침입해 자료를 내려 받는 5개월 동안 피해 사실 자체를 인지하지 못하고 있었다는 점이다.

A씨는 고등학교 3학년이던 2022년 처음으로 경기도교육청 서버를 해킹했고 이후에도 여러 차례 해킹을 했으나 교육청은 이를 알지 못했다. 도교육청은 2월 19일 새벽 인터넷 커뮤니티에 도교육청 서버를 해킹했다는 내용의 게시글이 올라온 후에야 경찰에 신고하고 수사를 의뢰한 후 해킹 사실을 알게 됐다.

게시글이 해킹 사실을 알려주지 않았다면 지금까지도 모르고 있었을 가능성이 매우 높았다는 의미다. 경찰은 경기도교육청 서버는 아무런 권한이 없는 사람이더라도 자료 다운로드가 가능하다는 보안상 취약점이 있어 보완할 필요가 있다고 도교육청에 전달했다고 설명했다.

경찰이 교육청에 보안상 취약점이 있고 이를 보완할 필요가 있다고 조언한 점은 보안 강화와 함께 정기적인 보안점검을 제대로 해야 한다는 것을 분명하게 알게 해주는 사례다.

경기도교육청은 해킹 사실을 전혀 감지하지 못했고, 특히 해킹 후에도 해킹 흔적을 전혀 알지 못하고 있었다는 것은 보안점검이 제대로 이뤄지지 않았다는 것으로 봐야 한다.

이는 흔히 말하는 ‘사후약방문’조차 제대로 이뤄지지 않았다는 비판에서 자유로울 수 없다. 정기적으로 보안점검을 했다면 수개월 동안 해킹 사실을 모를 수는 없었을 것이기 때문이다.

사정이 이렇다보니 ‘문서보안’ 등 간단한 보안정책도 제대로 실행이 되지 않은 것으로 볼 수밖에 없다. 개인정보를 비롯해 민감한 정보는 파일에 암호를 설정하고 그 파일 또한 보안등급에 따라 접근 또는 열람 권한에 차등을 주는 게 일반적이다.

하지만 경기도교육청은 그동안 이와 같은 보안정책이 매우 허술했다고 볼 수밖에 없다. 물론 보안정책의 허술함은 경기교육청뿐만 아니라 다른 교육청, 나아가 일부를 제외한 대부분의 공공기관이 갖고 있는 문제점이라 할 것이다.

정보보호를 위한 보안은 사이트 구축과 초기 보안 시스템 구축으로 끝나는 게 아니다. 그렇기에 보안전문가를 투입해 공공기관 사이트를 공동으로 관리하는 방안이나 보안정책 및 보안관제서비스 부문을 더욱 강화하는 정책을 추진하는 등 실질적 실효가 있는 방안을 추진할 필요가 있다.

정기적인 보안점검과 보안컨설팅을 진행하고 직원 보안교육을 비롯해 지금보다 더욱 명확한 보안정책을 설정하지 않으면 보안 위협은 취약해질 수밖에 없다. 경기도교육은 해킹 사실을 알지 못한 상태로 몇 개월이 지났다는 점을 매우 심각하게 받아들이고 문제점을 해결하기 위해 최선을 다해야 할 것이다.