서울경철청 사이버범죄수사대는 29일 "교육과학기술부의 서버를 해킹해 초중고등학생들의 개인정보를 대량으로 유출시킨 일당이 붙잡혔다"고 밝혔다.

이 일당은 전국 대부분의 초중고등학교에서 학생과 학부모 636만 명의 개인정보가 무작위로 유출해 수십억원의 돈을 벌어들인 것으로 나타났다.

피해 규모는 광주교육청 산하 학교들을 제외한 전국 15개 시·도교육청의 9,600여 개 초·중·고등학교 학생의 개인정보들이 포함돼 있다.

이는 전국 1만1300여 개 학교 가운데 85% 이상이 해킹피해를 입었고 학생 수로는 636만명에 이른다.

특히, 교육정보를 총괄하는 교육과학기술부의 서버가 해킹되면서, 피해는 대규모로 확산됐다.

유출된 정보는 학생의 이름과 학년, 반, 나이, 주소 등의 인적사항과 학생과 학부모의 개인연락처와 이메일 등입니다.

개인 정보를 해킹한 일당은 교과부가 최종 관리하는 '전자도서관' 서버 유지보수 업체 대표 51살 문 모 씨 등 4명이다.

이들은 학생들의 '독서카드'인 독서통장 프로그램 사업자에게 2억 원을 받고 개인정보를 넘긴 혐의를 받고 있다.

독서통장 사업자들은 이를 사업에 활용해 30억 원의 수익을 올린 것으로 조사됐다.

독서통장은 개인이 은행 '통장'처럼 가지고 다니면서 독서목록을 정리할 수 있다. 원래 학생들의 도서대여 내역은 교과부 전자도서관에 기록되는데, 독서통장 프로그램이 그 정보를 해킹해놓고는 마치 독서통장이 교과부 서버와 자동 연계돼 있어 쉽게 도서목록을 정리할 수 있는 것처럼 광고한 것이다.

이 독서통장 프로그램은 인기가 좋아 광주교육청을 제외한 모든 교육청에서 채택하고 있었는데, 이들 모두가 피해를 입었다.

무엇보다 허술한 보안의식이 주요 원인으로 나타났다.

전자도서관은 10억원을 투자해 프로그램엔 보안프로그램이 설치했지만 서버를 유지보수할 때는 서버 관리 업체의 요청에 따라 잠시 이 방호벽을 열어준다.

그런데, 전자도서관 직원들이 매번 이렇게 절차에 따라 서버를 관리하지 않고 기한이 지나도 서버 방호벽을 열어두거나 아예 보안프로그램을 활성화 시키지 않아 문제가 불거졌다.

이 때문에 문 씨 등은 쉽게 해킹프로그램을 설치했고, 마음대로 개인정보를 유출할 수 있었다.

경찰은 유출된 정보가 학생의 이름과 학년, 반에다 학생과 학부모의 개인연락처까지 이른 것을 보고 이들 정보가 보이스피싱 등 또 다른 범죄에 이용됐을 가능성도 열어두고 있다.

또 경찰은 이 업체들이 개인정보를 보관하면서, 보안에 특별히 신경쓰지 않았기 때문에 이 정보들이 재해킹당해 유출됐을 수도 있다고 설명했다.