제주 중학생, 교사 계정 해킹해 400명 개인정보 유출…학교 보안 뚫렸다

제주시의 한 중학교에서 학생이 교사의 계정을 무단으로 사용해 수백 명의 개인정보와 성적 정보를 도둑맞은 사건이 발생하면서, 학교 내 디지털 보안 관리에 심각한 허점이 드러났다.

제주도교육청에 따르면, 제주시 소재 중학교 2학년에 재학 중인 A군은 구글의 클라우드 기반 협업 플랫폼인 ‘구글 워크스페이스’에 교사의 계정으로 무단 접속해 동급생은 물론 3학년 학생들의 수행평가 성적과 인적사항을 내려받은 것으로 확인됐다. 피해 규모는 개인정보 유출자만 약 400여 명, 성적 정보 유출자까지 포함하면 200명 이상에 달한다.

이번 사건은 A군과 같은 반 학생의 제보로 지난 9월 2일 수면 위로 드러났다. 조사 결과, 학교는 계정을 생성할 때 교사와 학생 모두에게 일정한 규칙에 따라 만든 아이디와 동일한 초기 비밀번호를 제공한 뒤, 비밀번호 변경을 안내했으나 일부가 변경하지 않았던 것이 화근이 됐다. 이를 파악한 A군이 패턴을 추측해 여러 계정에 접근 시도한 끝에, 결국 변경되지 않은 한 교사의 계정으로 접근하는 데 성공한 것으로 보인다.

문제의 계정에 접속한 A군은 2학년 2개 반과 3학년 6개 반 학생들의 수행평가 성적표와 이름, 반, 번호 등이 담긴 명렬표를 내려받았다. 이에 대해 학교 측은 즉각 교육청과 교육부에 개인정보 유출 사실을 신고하고, 피해 당사자들에게 이를 통보했으며, 관련 자료를 삭제하고 모든 계정의 비밀번호를 변경하도록 조치했다.

또한 학교는 총괄대응본부를 설치해 피해 접수와 후속 안내, 학부모 면담 등을 진행하고 있으며, 해당 학생인 A군에 대해서는 촉법소년(형사처분 대상이 아닌 미성년자)임을 고려해 학교 내 규율에 따라 생활교육위원회에서 조처할 방침이다. 교육청은 현재까지 유출된 정보가 외부로 유포된 흔적은 확인되지 않았다고 밝혔다.

이 사건은 교육 현장에서 디지털 플랫폼을 이용한 학습 환경이 보편화되고 있음에도, 기초적인 인증 관리가 제대로 이뤄지지 않으면 심각한 정보 유출로 이어질 수 있음을 보여준다. 이에 제주도교육청은 도내 전 학교에 공문을 보내고, 공공 및 민간 플랫폼의 계정 관리와 보안 수칙 강화를 당부했다.

이 같은 사례는 디지털 전환이 가속화되는 교육 환경에서 개인정보 보호와 책임 있는 보안 관행의 중요성을 일깨우는 계기가 될 것으로 보인다. 앞으로 전산 시스템의 안전망을 보다 정교하게 점검하고, 학생과 교사 모두의 보안 인식 제고가 병행되어야 한다는 지적이 나온다.