세계일보

“호기심에서 시작해 (해킹) 실력을 과시하고 싶었어요.”

지난해 11월 치러진 전국연합학력평가 성적 자료 유출 사건의 주범은 10대 해커로 드러났다. 대학교 신입생인 주범 외에 검거된 다른 해커 3명 역시 10대였다. 이들 가운데 고등학교 3학년도 포함됐는데, 3000여 차례에 걸쳐 수험 정보가 저장된 경기도교육청 서버를 들락날락했다. 도교육청은 학력평가시스템 서버가 해커들의 ‘놀이터’로 전락한 동안 피해 사실 자체를 알지 못했다.

경기남부경찰청 사이버수사과는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반(정보통신망 침입) 및 개인정보 보호법 위반 혐의로 중부지역의 한 대학교 컴퓨터 관련 학부 1학년 A(19)씨를 구속했다고 1일 밝혔다.

주범 A씨는 지난 2월18일 경기도교육청 서버에 침입해 지난해 11월 치러진 학력평가 고교 2학년 학생들의 성적 정보를 빼냈다. 이후 텔레그램 ‘핑프방’ 운영자 B씨에게 전달해 27만여 건 성적 정보가 급속히 퍼져나가도록 한 혐의를 받는다. B씨는 자료들을 핑프방에 유포한 것으로 알려졌다. 핑프방은 수험 정보를 공유하는 텔레그램 대화방으로, 채널 참여자가 1만8000명이 넘는다. 

당시 고교 3학년이던 A씨의 범행 동기는 ‘호기심’과 ‘과시욕’이었다. 자신의 성적이 궁금해 우연히 서버에 접속했다가 서버의 취약점을 발견하고 지속해서 정보를 탈취해온 것으로 조사됐다. 지난해 10월부터 5개월간 200여 차례에 걸쳐 해외 IP로 우회해 경기도교육청 서버에 침입하고, 100회가량 자료를 불법 다운로드한 혐의도 받고 있다. A씨가 탈취한 자료 가운데는 지난해 4월 치러진 학력평가 고교 3학년 성적 정보와 다른 성적 분석 자료, 시험 문항지 등이 포함됐다.

경찰은 지난달 23일 A씨를 검거했다. 유출 경로를 추적하고, 서버 로그 기록 등에 대한 분석을 거쳐 피의자를 특정할 수 있었다. A씨는 “실력을 과시할 목적으로 텔레그램 채널 운영자에게 정보를 전달했다”는 취지로 진술했다.

경기도교육청은 지난 2월19일 새벽 한 인터넷 커뮤니티에서 도교육청 서버를 해킹해 학력평가 자료를 확인했다고 주장하는 글이 올라온 뒤에야 수사를 의뢰했다.

이번에 검거된 학력평가 성적 유출 관련자는 모두 9명이다. A씨를 포함해 도교육청 서버에 불법 침입한 해커 4명, 유출된 정보 유포자 2명, 이를 재유포한 2명, 성적 정보를 판매하려 한 피의자 1명이다. 이 가운데 혐의가 중한 A씨와 B씨는 구속됐다. 해커 4명 중 3명은 대학교 1학년, 나머지 1명은 고교 3학년으로 서로 모르는 사이였다.

경찰 관계자는 “도교육청 서버는 누구나 다운로드가 가능할 만큼 보안상 취약점을 지녔다”면서 “유출된 정보를 공유·전달·재가공하는 행위도 처벌될 수 있다”고 설명했다.

[ⓒ 세계일보 & Segye.com, 무단전재 및 재배포 금지]