학교전자도서관 2년 넘게 해킹… 까맣게 모른 정부 “그런일 있었나”

개발업체가 일하는 척 해킹 프로그램 설치… 훔친 신상정보 사업자들에 2억 받고 팔아

정부 전산망을 해킹해 돈벌이 수단으로 이용한 컴퓨터 프로그램 업체가 무더기로 적발됐다. 초·중·고교생 수백만명의 개인정보가 2년 넘게 외부에 노출됐지만 경찰 수사가 시작될 때까지 관리감독 당국은 몰랐다.

서울지방경찰청 사이버범죄수사대는 28일 정부가 구축한 학교도서관지원시스템(DLS) 서버를 해킹해 개인정보를 다른 업체에 팔아넘긴 혐의(정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반 등)로 컴퓨터 시스템 관리업체 2곳을 적발하고 I사 사장 문모(51)씨 등 4명을 검거했다.

경찰은 이들에게서 사들인 자료를 활용해 만든 ‘독서통장’ 프로그램을 전국 초·중·고교 652곳에 판매한 D사 사장 이모(39)씨 등 컴퓨터 프로그램 개발업체 사장 5명도 같은 혐의로 검거했다.

DLS는 학교 도서관 운영을 도우려고 정부가 2000년 개발한 도서 이력관리 시스템이다. 광주를 제외한 15개 시·도교육청이 도입해 전국 초·중·고교 1만1310곳 중 85.3%인 9646곳에서 사용되고 있다. 학생 636만6039명의 이름, 전화번호, 주소는 물론 교직원과 학부모의 신상정보가 저장돼 있다.

DLS 개발에 참여했던 I사와 O사는 2008년 3월부터 지난 5월까지 시스템 관리를 명목으로 15개 시·도교육청의 DLS 서버 50여개에 해킹 프로그램을 설치했다. 인터넷이 가능한 곳이면 어디서든 DLS 서버에 접속, 정보를 빼낼 수 있는 프로그램이다.

두 업체는 DLS에서 유출한 학생 정보를 독서통장 사업자에게 팔아 2억여원을 벌었다고 경찰은 전했다. 이들은 울산 지역 226개교 학생 정보를 통째로 빼내 업체 서버에 보관하고 있었다.

I·O사에서 학생 개인정보를 사들인 D사 등 4개 업체는 2008년 3월부터 지난 5월까지 초등학교 616곳, 중학교 30곳, 고교 6곳에 독서통장 프로그램을 팔아 30억여원을 챙겼다. 독서통장은 학생 개개인이 언제 어떤 책을 빌려 읽었는지 은행 통장처럼 정리해 주는 프로그램으로 DLS 서버에 불법 접근해야만 가동이 가능하다.

DLS 사업 총괄 기관으로 국고를 지원하는 교육과학기술부는 이를 전혀 파악하지 못했다. DLS를 위탁 운영하는 한국교육학술정보원은 I·O사가 교육청과 직접 업무를 처리하도록 했고, 교육청은 작업 내역을 검증하지 않은 채 업체가 수시로 DLS 서버에 접근할 수 있도록 방화벽(해킹 방지 프로그램)을 해제했다.

경찰 관계자는 “전반적 관리감독 소홀로 10억여원의 혈세를 들여 만든 방화벽을 무용지물로 만들고, 정부 시스템으로 민간 업체의 배를 불렸다”고 말했다.

강창욱 기자 kcw@kmib.co.kr