‘알림 폭탄’ 교육부 자가진단 앱, 해킹보다 허탈한 ‘보안 구멍’

누군가 알림 권한 무단 접근…5개 IP 차단
교육부 “개인정보 유출은 없었다”

경기도의 한 학부모가 14일 새벽 받은 자가진단 앱 알림(왼쪽). 트위터 등 사회관계망서비스(SNS)에도 알림 목록을 갈무리한 사진(오른쪽)이 잇따라 올라왔다.

14일 새벽 발송인을 알 수 없는 알림이 여러 차례 울린 교육부 건강상태 자가진단 앱 ‘알림 폭탄’ 사건은 교육부의 1차 조사 결과 일부 학교의 알림 발송 권한에 특정인이 무단으로 접근해 발생한 것으로 확인됐다. 교육부는 해킹으로는 보기 어려운 수준이라고 해명했지만 학생과 교직원들의 민감한 개인 정보가 기록되는만큼 보안을 강화해야 할 필요성이 제기된다.

15일 교육부 관계자는 “알림 발송 권한을 가진 일부 학교의 사용자 정보 10여개가 누군가에 의해 무단으로 사용된 것을 확인했다”며 “비정상적으로 접속이 이뤄진 인터넷 주소(IP) 5개를 확인해 차단하고 추가 접근 시도가 있는지 모니터링중”이라고 설명했다. 이 관계자는 “학생들의 개인정보가 밖으로 유출된 상황은 아직 발견되지 않았다”고 덧붙였다.

학생과 교사들이 매일 등교 전 코로나19 의심 증상을 확인해 기록하는 자가진단 앱은 등교 시간 이후에도 자가진단을 하지 않는 경우 알림이 발송되는데 발송 권한은 담임 교사 또는 학교 관리자 등에게만 주어진다. 발송인으로는 학생이 속한 반 또는 학교 이름이 기재되는데 14일 새벽에 온 알림에는 ‘자가진단 드가자~~’, ‘얘! 자가진단 하렴’, ‘여러분 자가진단 하세요! 확진자 늘고 있는거 보이잖아요?’와 같은 장난스러운 문구가 적혀 있었다.

교육부는 이번 사건을 해킹으로는 보기 어렵다고 설명했다. “통상 해킹이라고 하면 서버 접근 권한을 얻어 개인정보를 유출하거나 서비스를 무력화시키는데 그 정도 수준은 아니”라는 것이다. 하지만 해킹으로도 보기 어려운 수준의 접근에 자가진단 앱이 손쉽게 뚫렸다는 점에서 보안 수준에 대한 우려는 더 커지고 있다. 교육부는 교육사이버안전센터, 민간업체와 함께 누가 알림 권한에 무단 접근했는지 조사에 나섰다. 필요한 경우 경찰에 수사의뢰하는 방안도 고려하고 있다. 교육부 관계자는 “학생들의 사용 편의성을 높이려다 보니 앱 보안 수준을 낮춘 측면이 있다”며 “개선점을 찾아 보완하겠다”고 밝혔다.

이유진 기자 yjlee@hani.co.kr