작년 학력평가 성적이 아직도 서버에…"보안 의식 허술" 지적
입력
수정
경기교육청, 출력 마감 후 사실상 방치…"이번 주 지우려했다"
지난해 전국연합학력평가에 응시한 학생들의 이름과 성적, 소속 학교 등이 담긴 파일이 최근 인터넷 공간에 유포된 가운데 민감한 정보를 다루는 공공기관의 보안에 허점이 드러났다는 지적이 나오고 있다. 21일 경기도교육청에 따르면 이번에 유출된 자료는 작년 11월 23일 치러진 전국연합학력평가 당시 경남교육청과 충남교육청을 제외한 전국 15개 시도교육청 관내에서 이 시험에 응시한 고등학교 2학년 학생 27만여 명의 시험 성적과 소속 학교, 이름, 성별 등이다.
전국연합학력평가는 전국의 시도교육청이 학생들의 학력 수준을 파악하기 위해 시행하는 시험으로, 서울·경기·인천·부산교육청이 돌아가며 시험을 주관한다.
지난해 경기교육청은 이번 유출 사고가 난 11월 시험과 4월 시험을 주관했다. 경기교육청은 성적전산처리업체에 성적관리를 맡기고 이 업체로부터 응시생들의 성적이 담긴 이동식저장장치(USB)를 받은 뒤 도 교육청 서버에 이를 올리면 개별 학교가 응시생들의 성적을 출력하는 식으로 성적 전산처리를 한다.
개별 학교는 해당 학교 학생들의 성적만 확인할 수 있으며 성적전산처리업체로부터 받은 USB는 경기교육청 북부청사 내 이중 잠금 시설의 보안 금고에 보관된다.
작년 4월 시험은 그달 13일에 치러졌고, 경기교육청은 같은 달 27일에 서버에 성적을 올렸으며, 학교의 성적 출력 기간은 5월 2일부터 같은 달 27일까지였다. 문제가 된 11월 시험의 경우 12월 7일 서버에 성적이 올라온 뒤 같은 달 12일부터 올해 1월 6일까지 성적 출력 기간이었다.
정확한 자료 유출이 성적전산처리 담당 업체와 경기도교육청 어디에서 언제 이뤄졌는지 현재로서는 알 수 없지만, 자료가 인터넷에 올라온 것은 성적 출력 기간 마감일로부터 45일이 지난 이달 19일이며, 그때까지도 성적은 경기도교육청 서버에 남아있었다.
경기교육청 관계자는 성적 출력 기간 이후에도 성적을 서버에 보관한 데 대해 "성적 출력 마감 이후에 민원이 추가로 발생할 수 있어 명시하지는 않았지만 통상 한 달가량 더 보관한 뒤에 삭제한다"며 "유출된 성적자료는 이번 주에 서버에서 내릴 계획이었다"고 말했다. 성적이 유출된 곳은 경찰 수사를 통해 밝혀져야 하지만 전문가들은 공공기관인 경기교육청이 응시생들의 성적을 이처럼 서버에 오래 놔둔 것은 문제라고 입을 모았다.
김형중 고려대학교 정보보호대학원 특임교수는 "성적 출력 기간 이후 추가로 며칠을 더 서버에 올려둘지에 대한 기간을 정하지 않은 것도 문제이고, 딱 성적 출력 기간에만 서버에 올려두고 그 이후에는 내린 뒤에 민원이 발생하면 USB에 있는 것을 꺼내 보면 되는데 그렇게 하지 않은 것도 문제"라며 "보안보다 업무 편의에 중점을 둔 것 같다"고 말했다.
정보보안업체 이스트시큐리티 문종현 이사는 "중요하거나 민감한 정보의 경우 이를 다루는 주체는 대부분 보안을 위해 정보의 보관기관·방법, 담당자 등을 명시하는데 그러지 않았다는 것은 보안 의식이 부족하다고밖에 볼 수 없다"고 지적했다.
/연합뉴스
지난해 전국연합학력평가에 응시한 학생들의 이름과 성적, 소속 학교 등이 담긴 파일이 최근 인터넷 공간에 유포된 가운데 민감한 정보를 다루는 공공기관의 보안에 허점이 드러났다는 지적이 나오고 있다. 21일 경기도교육청에 따르면 이번에 유출된 자료는 작년 11월 23일 치러진 전국연합학력평가 당시 경남교육청과 충남교육청을 제외한 전국 15개 시도교육청 관내에서 이 시험에 응시한 고등학교 2학년 학생 27만여 명의 시험 성적과 소속 학교, 이름, 성별 등이다.
전국연합학력평가는 전국의 시도교육청이 학생들의 학력 수준을 파악하기 위해 시행하는 시험으로, 서울·경기·인천·부산교육청이 돌아가며 시험을 주관한다.
지난해 경기교육청은 이번 유출 사고가 난 11월 시험과 4월 시험을 주관했다. 경기교육청은 성적전산처리업체에 성적관리를 맡기고 이 업체로부터 응시생들의 성적이 담긴 이동식저장장치(USB)를 받은 뒤 도 교육청 서버에 이를 올리면 개별 학교가 응시생들의 성적을 출력하는 식으로 성적 전산처리를 한다.
개별 학교는 해당 학교 학생들의 성적만 확인할 수 있으며 성적전산처리업체로부터 받은 USB는 경기교육청 북부청사 내 이중 잠금 시설의 보안 금고에 보관된다.
작년 4월 시험은 그달 13일에 치러졌고, 경기교육청은 같은 달 27일에 서버에 성적을 올렸으며, 학교의 성적 출력 기간은 5월 2일부터 같은 달 27일까지였다. 문제가 된 11월 시험의 경우 12월 7일 서버에 성적이 올라온 뒤 같은 달 12일부터 올해 1월 6일까지 성적 출력 기간이었다.
정확한 자료 유출이 성적전산처리 담당 업체와 경기도교육청 어디에서 언제 이뤄졌는지 현재로서는 알 수 없지만, 자료가 인터넷에 올라온 것은 성적 출력 기간 마감일로부터 45일이 지난 이달 19일이며, 그때까지도 성적은 경기도교육청 서버에 남아있었다.
경기교육청 관계자는 성적 출력 기간 이후에도 성적을 서버에 보관한 데 대해 "성적 출력 마감 이후에 민원이 추가로 발생할 수 있어 명시하지는 않았지만 통상 한 달가량 더 보관한 뒤에 삭제한다"며 "유출된 성적자료는 이번 주에 서버에서 내릴 계획이었다"고 말했다. 성적이 유출된 곳은 경찰 수사를 통해 밝혀져야 하지만 전문가들은 공공기관인 경기교육청이 응시생들의 성적을 이처럼 서버에 오래 놔둔 것은 문제라고 입을 모았다.
김형중 고려대학교 정보보호대학원 특임교수는 "성적 출력 기간 이후 추가로 며칠을 더 서버에 올려둘지에 대한 기간을 정하지 않은 것도 문제이고, 딱 성적 출력 기간에만 서버에 올려두고 그 이후에는 내린 뒤에 민원이 발생하면 USB에 있는 것을 꺼내 보면 되는데 그렇게 하지 않은 것도 문제"라며 "보안보다 업무 편의에 중점을 둔 것 같다"고 말했다.
정보보안업체 이스트시큐리티 문종현 이사는 "중요하거나 민감한 정보의 경우 이를 다루는 주체는 대부분 보안을 위해 정보의 보관기관·방법, 담당자 등을 명시하는데 그러지 않았다는 것은 보안 의식이 부족하다고밖에 볼 수 없다"고 지적했다.
/연합뉴스