지역별 뉴스를 확인하세요.

시카고교육청 개인정보 대규모 유출

학생-교사 56만명 정보 대상

시카고 교육청 개인정보 유출 [로이터]

시카고 공립학교(CPS) 소속 학생과 교직원 56만명의 개인정보가 대량 유출된 것으로 나타났다. 교육청은 이 정보가 범죄 목적으로 유용된 흔적은 아직 발견하지 못했다고 밝혔으나 피해자들을 대상으로 신용 모니터링 서비스를 제공할 예정이다.

CPS에 따르면 개인정보 유출 피해자는 50만명의 학생과 6만명의 교직원들이다.

이들의 생년월일을 포함한 개인 정보가 유출된 것은 CPS와 계약을 맺고 있는 교사 평가 업체의 기본정보가 외부로 누설됐기 때문이다. 아직까지는 이 정보가 피해자 의도와는 상관없이 다른 용도로 사용되거나 제3의 그룹에 유출되거나 온라인상에 올라오지는 않은 것으로 알려졌다.

유출된 학생들의 개인정보는 지난 2015-2016년 학기에서부터 2018-2019 학기의 자료다. 생년월일과 함께 학생의 이름, 학교명, 성별, CPS 고유번호, 주 개인번호, 수업 정보, 과목별 과제 점수 등이 포함된 것으로 보인다. 교직원의 경우 이름과 직원 고유 번호, 학교와 과목 정보, 이메일 주소, 유저네임 등이다.

Battelle for Kids라는 이름의 교사 평가 업체의 정보가 랜섬웨어의 공격을 받은 것은 지난해 12월. 하지만 CPS가 이 업체로부터 개인정보가 유출됐다라는 통보를 받은 것은 4월26일이었다. 또 교사들의 정보도 유출됐다고 확인 받은 것은 5월11일이었다. 어떤 학생들의, 어떤 개인정보가 유출됐는지 통보 받은 것도 이 시점이었던 것으로 나타났다.

업체가 보관하고 있던 개인정보가 유출된 것은 시카고 외 타 주에서도 발생한 것으로 확인됐다. 지난 4월 오하이오 주에서도 이 업체의 정보가 바깥으로 새어 나갔는데 이 경우는 2011년까지로 거슬러 올라간 것으로 확인됐다.

정보 유출이 가능했던 이유는 데이터를 암호화하고 오래된 정보는 자동으로 삭제해야 하는데 해당 업체는 이 같은 계약 조건들을 지키지 않았던 것으로 알려졌다. 또 이 업체는 보통 CPS가 업체와의 계약을 진행할 때 밟는 응찰 절차를 거치지 않았던 것으로 확인됐다. 2011년 처음 CPS와 거래를 시작했는데 4명의 CPS 청장이 바뀌었는데도 별도의 응찰 절차 없이 계속 사업을 수행했던 것으로 나타났다.

한편 이번 CPS의 개인 정보 유출 사건은 연방 국토안보부와 연방수사국(FBI)이 수사를 진행하고 있다.

Nathan Park 기자