"정보 유출 사고로 피해를 입은 학생과 가족들께 죄송하다는 말씀을 드립니다."

지난 2월 발생한 ‘고2 전국연합학력평가 응시생 개인정보 유출 사건’과 관련해 임태희 경기도교육감이 책임을 통감하며 추가 피해 확산 및 유사사건의 재발을 방지하겠다고 밝혔다.

임 교육감은 4일 경기도교육청 남부청사에서 긴급 기자회견을 열고 "학생을 보호할 책임이 있는 교육청에서 오히려 큰 상처를 드린 점에 대해 교육감으로서 무거운 책임을 느낀다"고 사과했다.

이어 "지난달 27일 경찰에서 발표한 중간 수사결과와 별개로 이 문제에 대해 교육부가 조사한 결과에 따르면 이미 알려진 유출 사례를 포함해 2019년과 2021년 및 지난해 치러진 4월·11월 학력평가에 응시했던 학생들의 성적자료가 추가 유출된 사실이 확인됐다"며 "정확한 유출 규모는 확인되지 않지만 290여만 건(으로 추산되고 있다"고 전했다.

교육부의 조사 결과, 해당 자료들이 유출된 시점은 2021년 6월 이후로, 2017년 도교육청이 자체 개발한 ‘학력평가 온라인시스템(GSAT)’의 인증 우회의 취약점을 이용해 접근 및 자료 유출이 이뤄진 것으로 확인됐다.

유출된 자료는 △2019년 4월 고3= 38만3947명 △2019년 11월 고2= 35만1783명 △2019년 11월 고1= 37만349명 △2021년 4월 고3= 31만6423명 △2021년 11월 고2= 30만7349명 △2021년 11월 고1= 30만8909명 △2022년 4월 고3= 28만9285명 △2022년 11월 고2= 30만3639명 △2022년 11월 고1= 33만4801명 등 296만6485명의 학생 성적 파일(응시 학생의 학교명, 학년, 반, 성명, 성별, 성적자료)이다.

특히 이날 기자회견에서는 학력평가 자료의 유출 사고 외에도 그동안 개인정보 관리 전반에 많은 허점이 있었던 사실이 드러났다.

실제 지난 2021년 개인정보보호위원회로부터 개인정보보호에 대한 안전성 확보 조치가 미흡하다는 지적을 받았던 도교육청은 관련 사안에 대한 보완 고도화 조치를 완료한 뒤 개인정보보호위에 통지하는 일이 있었음에도 불구, 자료 유출 사건이 발생한데다 이번 교육부의 조사결과가 나오기 전까지는 학력평가 자료의 유출 사실에 대해 전혀 알지 못했던 것이다.

임 교육감은 "이번 사건에 대해 어떠한 의혹과 의문도 남지 않도록 관련 경위를 철저히 조사해 문제가 드러난 부분은 과감히 도려내고, 엄중하게 책임을 묻겠다"라며 "또한 피해 확산 방지와 확실한 재발방지 대책을 마련할 것"이라고 강조했다.

도교육청이 제시한 재발방지 대책은 △전국연합학력평가 운영 개선 △개인정보보호 개선방안 마련 △업무 체계 재정립 △개인정보보호에 대한 인식 개선 △새로운 개인정보 보호체계 마련 등 크게 다섯 가지다.

앞서 도교육청은 정보 유출 사건이 확인된 이후 ‘학력평가 온라인시스템(GSAT)’을 즉각 폐쇄하는 한편, 포털 및 SNS를 통한 2차 피해 게시물 삭제를 지속적으로 요청함과 동시에 학원 및 교습소 등 사교육 업체를 대상으로 유출자료의 이용을 멈출 것을 경고하는 등 추가피해 확산을 방지하기 위해 노력했다.

또 사건 발생 이후인 지난 3월 도교육청의 개인정보시스템 관리실태를 전수조사하고, 외부용역업체에서 관리하는 서버 등 현황 전반을 분석했다.

이 밖에 실질적인 재발방지를 위해 도교육청은 먼저 올해 4월과 11월 주관을 맡은 전국연합락력평가를 각각 5월과 12월로 순연해 한국교육과정평가원에서 성적처리를 진행하기로 결정했다.

개인정보보호 실태의 개선을 위해서는 앞서 실시한 전수조사 등 외에도 외부 전문기관을 통한 컨설팅 점검용역을 진행해 개인정보보호 관리체계 전반을 꼼꼼히 점검하는 등 구체적인 취약점을 진단하고, 발견되는 모든 문제점에 대해 근본적인 조치를 시행할 예정이다.

이와 함께 정보시스템 구축을 위한 모든 과정에 정보 전문가가 공동 참여하도록 업무 체계의 재정립을 비롯해 시스템별 접근의 통제 및 업무망과 인터넷망을 분리하는 등 재발방지를 위한 기술적·인적·제도적 대책을 마련하고, 개인정보의 개념과 중요성을 담은 교육자료의 전국 보급 및 학생·교직원·학부모 등을 대상으로 개인정보보호의 중요성을 인식하도록 안내할 계획이다.

이 밖에도 유출 자료의 재가공 및 유포 등 2차 피해의 확산을 막기 위해 새로운 개인정보보호체계가 마련될 수 있도록 경기도의회와 국회에 개인정보보호법 처벌규정 보완 입법을 요청한 도교육청은 자체적으로도 일관된 보안정책을 공통 적용하여 안전하게 자료를 보안관리 할 수 있는 클라우드 기반 통합 시스템을 구축하고, 교육부 및 타 시도교육청과의 협력을 강화할 방침이다.

임 교육감은 "학력평가 온라인시스템의 구축 당시부터 문제가 있었는지 등에 대해서는 아직 도교육청 자체감사와 경찰의 수사가 진행 중인 상황인 만큼, 조사 결과가 나와야 정확한 방침을 밝힐 수 있을 것"이라면서도 "과거의 실수를 반복하지 않고 학생들이 또다시 상처받지 않도록 모든 노력을 다할 것을 약속드린다"고 말했다.

한편, 교육부의 조사를 통해 새롭게 확인된 추가 유출 사례에 대해 교육부와 도교육청 등의 수사 의뢰는 아직 이뤄지지 않은 상태다. 더욱이 교육당국이 수사 의뢰를 진행하더라도 실제로 수사가 가능할지 여부에 대해서는 미지수다.

해당 사건을 수사 중인 경기남부경찰청 사이버수사대 관계자는 "현재 경찰에서는 지난해 11월 고2 학생들의 정보 유출 사건에 대해서만 수사 중"이라며 "만약 교육당국에서 추가로 파악된 유출건에 대해 수사를 의뢰한다면 당연히 수사에 착수하겠지만, 어느 장소의 IP를 이용했는지를 파악하기 위한 통신자료의 보관기간이 최대 1년 정도에 불과해 오래된 사안에 대한 유출자 확인이 불가능할 수도 있다"고 설명했다.