서울지방경찰청 사이버범죄수사대는 교육과학기술부에서 관리하는 초·중·고 DLS(Digital Library ystem - 전자도서관 시스템) 서버를 해킹하여 DLS, 독서통장간의 불법 연동프로그램 45개와 연동을 위한 DB 테이블 8개를 설치한 혐의로 유지보수 업체인 I社 문○○(51세), 김○○(36세), 박○○(41세), O社 최○○(47세)와 불법 독서통장 프로그램을 652개 초·중·고에 판매한 혐의로 D社 이○○(39세), Y社 김○○(41세), D 社 정○○(40세), E社 한○○(43세), A社 이○○(46세)를 정보통신망이용촉진및정보보호등에관한법률위반으로 입건하였다.

피의자들은 전자도서관시스템 유지보수 업체인 I社와 O社사는 15개 시도교육청 50여개의 DLS 서버에 웹브라우저로 개인정보를 출력시키는 불법 연동 프로그램을 설치하고, 학생 도서대출반납이력 등 개인정보를 독서통장 사업자에게 상업적 목적으로 제공하여 2억원 상당의 부당 수익을 올리고, D社 등 독서통장 사업자는 시도교육청의 허가 없이 유지보수업체로부터 학생 개인정보를 제공받아, 전국 652개 학교(초등학교 616, 중학교 30, 고등학교 6개학교)를 상대로 독서통장 프로그램을 판매하여 약 30억원 상당의 판매수익을 거두었다.

국내 DLS(전자도서관)는 전국 15개 시·도 교육청(광주교육청 제외)에 설치되어, 교직원, 학부형 및 학생들의 학년, 반, 이름 이메일, 주소, 전화번호 등 개인정보를 저장되어 있고 도서 대여 반납, 연체 이력을 처리 또는 관리하는 시스템이다. 전국 초·중·고의 11,310개 학교 중 9,646개에서 DLS를 사용있으며, 6,366,039명 초·중·고 학생의 개인정보가 저장되어 있으며, 불법 독서통장 프로그램은 2008. 3월 제주 모 초등학교에서 최초 설치되어, 전국 초·중·고등학교에 추가 설치되었다.

DLS(전자도서관)는 교육과학기술부에서 개발과 유지보수를 위한 국고보조금을 교부하는 등 전반적인 사항을 총괄하고, 유관기관인 한국교육학술정보원(KERIS)에서 위탁 운영하며, 시·도 교육청 별로 설치되어 해당 시·도 교육청에서 실질적으로 운영 ·관리되고 있다.

교육과학기술부는 중앙부처로 한국교육학술정보원과 시도교육청의 DLS 구축,운용 등 전반적인 사업의 관리감독 책임이 있지만, 한국교육학술정보원의 국고 예산신청 및 사업정산보고서를 검토하고 국고보조금을 교부하는 것 외에 시스템이 어떻게 구동되고 있는지에 대한 실질적인 관리 기능에 소홀하였다.

한국교육학술정보원(KERIS)는 매년 전자도서관 시스템 개발업체인 I社, O社를 유지보수 사업자로 선정하였으나, 정부에서 관리하는 전자도서관시스템의 소스프로그램과 개인정보를 유지보수 업체에게 아무런 확인 절차도 없이 시·도 교육청과 직접 업무 처리하도록하는 관리 소홀로 유지보수 업체가 마음대로 불법 프로그램을 설치하게 하고 상업성 프로그램을 판매하게 하는 결과를 초래하였다.

시․도교육청은 학교도서관의 효율적인운영을 지원하기 위하여 전자도서관시스템을 구축 운영하고 있음에도, 학교단위에서 독서교육을 위해 도입한 ‘독서통장’의 존재여부, DLS와의 연동 사실 간과 하고, 유지보수업체의 작업내역 검증 없이 1년 내내 수시로 전자도서관 시스템에 접근 할 수 있도록 하여 10억여원을 들여 도입한 방화벽의 정책 관리에 허점을 보였다.

정부에서 관리하는 학생들의 개인정보가 저장되어 있는 시스템에 정부 승인 없이 유지보수 명목으로 접근하여 상업성 프로그램을 판매하고자 연동 프로그램을 마음대로 설치하고, 설치된 연동 프로그램을 이용하여 정부 승인이 전혀 없는 민간업체에서 서버 시스템에 접근하여 학생 개인정보와 연동되어 불법 프로그램을 구동하도록 하였다.

불법 연동 프로그램은 웹브라우저만 있으면 인터넷을 통해 원격으로 학생 개인정보를 출력하는 구조로 개발되어, 제3자가 DLS시스템에 접근 가능한 보안 취약성이 노출되었다.

그리고 또한 유지보수 업체에서 저장되어 있지 않아야 할 울산교육청 산하 226개 학교의 학생 개인정보가 고스란히 업체 서버에 저장되어 있고, 전혀 상관없는 독서통장 프로그램 판매업체에서도 마찬가지로 불법 연동한 학생 개인정보 DB로 구축하여 전국 교육청 산하 학교 학생 개인정보를 저장된 사실을 확인하였으며 이로 인하여 DLS에 저장되어 있는 9,646개 초·중·고등학교의 6,366,039명 개인정보 유출 우려도 예상된다.

결과적으로 관리 감독 소홀로 정부 서버에 불법 프로그램을 마음대로 설치되고, 학생 개인정보가 유출되었으며, 설치된 연동 프로그램으로 돈벌이에 급급하게 하는 결과를 초래하였다.

교육과학기술부, KERIS에서는 문제점을 인식하여 보안 취약점이 있는 불법 연동모듈을 제거하고, 이미 독서통장을 적용한 학교에서 사용할 수 있는 시스템을 개발하여 정부 차원에서 솔루션을 이용하도록 해야 하고, 유지보수 업체에서 직접 방화벽 등록 신청을 하지 못하도록 하는 등 절차의 문제점도 해소해야 할 것으로 보인다.