지난해 11월 치러진 고등학교 2학년 전국연합학력평가(학평) 성적 자료 유출과 관련해 경기도교육청이 사회관계망서비스(sns) 유포 이후 10시간 동안 파악을 못 한 것으로 확인됐다. 사건 첫 인지도 제보를 통해 한 것으로 드러났다. 경찰은 보안 취급자에 대한 관리소홀 여부로 수사범위를 넓힐 계획이다.
경기도교육청은 21일 지난해 11월 치러진 고교 2학년 학평 성적자료 유출 경위 설명에 나섰다.
한정숙 제2부교육감은 유출된 자료에 대해 “성적에 대한 민원 등이 있을 수 있어 성적 배포 이후 한두 달 정도 서버에 보관하고 있다”면서 “더 이상 민원이 없어 이번 주 중 삭제하려고 했는데 유출됐다”고 말했다. 그러면서 “삭제 시점은 명확히 알 수 없다"고 덧붙였다.
실제 성적 업로드는 지난해 12월 4일 이뤄졌으며, 같은 달 12일부터 지난달 6일까지 각 학교별로 출력(확인)이 이뤄졌다. 도교육청은 지난달 6일부터 한 달여간 민원에 대비해 보관해 왔다.
하지만 성적 유출 이후로도 도교육청 대응은 신속하게 이뤄지지 않았다.
도교육청은 이날 배포한 자료에서 유출된 성적 자료가 온라인에 올라온 시점이 19일 0시 23분이라고 했다.
하지만 도교육청이 유출 사실을 제보받았다고 밝힌 시간은 당일 오전 10시 28분이다. 10시간 3분 동안 학평 응시생 27만 명의 이름과 학교, 학년, 반, 성별, 성적표 등이 고스란히 온라인상에 공개됐지만 도교육청은 아무 대응도 하지 않았다.
경찰 신고 시간도 제보받은 후 19일 오전 11시 23분에야 이뤄졌고, 2차 유출 피해를 막겠다면서 접속경로를 차단한 시간은 낮 12시 6분이었다.
도교육청은 또 사건 인지 하루 뒤인 지난 20일에야 충남과 경남을 제외한 15개도 교육청에 관련 내용을 공유했고, 성적표 유출 36시간 후인 20일 오후 2시 비상상황실 운영을 시작했다.
이에 대해 도교육청 관계자는 “해킹 여부를 몰랐던 것은 사실이지만 유출됐다는 제보를 받은 뒤 사실 확인한 직후 곧바로 경찰에 신고했다”며 “해당 교육청에도 당일(일요일) 오후에 피해 사실을 알렸고 20일은 회의한 것이며, 그날 오후 8시에 홈페이지에 유출 관련 팝업을 등재했다”고 해명했다.
경기남부경찰청 사이버수사대는 이날 오후 성적 자료가 담긴 서버에 대한 디지털포렌식 작업을 마치고 분석 작업에 들어갔다.
경찰 관계자는 “포렌식한 결과물을 토대로 서버 로그 기록을 확인해 외부에서 침입했는지 내부에서 유출했는지 확인 작업 중”이라며 “개인정보보호법에 개인정보 취급자의 의무 사항에 관리 부분이 포함돼 있어 서버 보안 책임자 등에 대한 관리소홀 여부도 조사할 계획”이라고 말했다.