[제주 ○○중학교] 학생, 교사 구글 워크스페이스 계정 무단 접속으로 개인정보·성적자료 600여건 유출_2025년 9월

제주 모 중학교에서 학생이 교사의 구글 워크스페이스 계정에 무단 접속해 약 400명의 개인정보와 200명의 수행평가 성적이 유출된 사건 발생

□  개요  

     2025년 9월 2일, 제주 ○○중학교 2학년 학생 A군이 교사의 구글 워크스페이스(Google Workspace) 계정에 무단 접속해 학생 개인정보와 수행평가 성적을 내려받는 사건이 발생했다. 사건은 동급생의 제보로 적발되었으며, 3월 이후 수개월간 반복 접속 정황이 확인됐다. 피해 규모는 개인정보 약 400여건, 성적자료 약 200여건으로 집계됐다.

 

□  사고내용 요약  

    1. 기관명 : 제주 ○○중학교
    2. 사고유형 : 교사 계정 무단 접속에 의한 내부 유출

    3. 유출규모 : 개인정보 400명분, 성적자료 200명분
    4. 유출항목
       -  2학년 학생 명렬표(반·번호·이름)
       -  2학년 2개 반, 3학년 6개 반 수행평가 성적자료
    5. 유출경위
       - 학교 측이 교사와 학생에게 일정 패턴의 아이디와 동일한 초기 비밀번호를 제공했으나 일부 계정이 미변경 상태
       -  A군이 이 점을 악용해 2025년 3월부터 교사·학생 계정(구글 워크스페이스)에 반복 접속
       - 계정 내 구글 드라이브에 저장된 명렬표·성적자료를 내려받음
       - 동급생이 이를 제보해 사건이 드러남
    6. 외부유출 여부 : 자료 외부 유포 정황 없음

□  해킹대응 타임라인  

    -  2025년 3월 ~ 8월: A군, 교사·학생 구글 워크스페이스 계정 무단 접속 반복
    -  2025년 9월 2일: 동급생 제보 → 학교 측 사실 확인 및 교육청·교육부 보고
    -  2025년 9월 2일 오후: 피해 자료 전면 삭제, 교사·학생 계정 비밀번호 일괄 변경
    -  2025년 9월 5일: 제주도교육청, 언론 발표 및 도내 모든 학교에 계정 보안 강화 공문 발송

□  구글 워크스페이스란(Google Workspace)?   

    1. 주요기능
       -  구글이 제공하는 클라우드 기반 협업 플랫폼
       -  학교, 기업, 기관에서 이메일·문서 작업·저장소·화상회의 등을 통합 제공
       -  대표 서비스: Gmail, Google Drive, Docs, Sheets, Slides, Classroom 등

    2. 교육기관에서의 활용
       -  교사·학생 계정을 발급해 과제 제출, 수업 자료 공유, 성적 관리 등에 활용
       -  클라우드 저장소(Drive)에 문서·성적표·명렬표 등을 저장 → 언제든 온라인 접근 가능
       -  중앙 관리(Admin Console) 기능으로 계정 발급·삭제, 비밀번호 정책, MFA 적용 가능

    3. 보안 관리 특징
       -  기본 제공 : 2단계 인증(MFA), 계정 접근 로그, 권한 관리, 데이터 손실 방지(DLP) 기능
       -  하지만 초기 설정(예: 공통 ID·비밀번호 부여 후 변경 미강제)이나 관리 부실 시 → 내부자 혹은 학생이 쉽게 무단 접근 가능
       -  특히 학교 환경에서는 보안 인식 부족 + 관리자 미설정이 겹쳐 취약점이 발생하기 쉬움

□  개인정보 유출 관련 가정통신문   
    -  이 글은 [하단 출처 언론 보도] 내용을 바탕으로 작성되었으며, 원문을 수정하거나 변조하지 않고 그대로 인용했습니다.

 □  대응내역  

    -  유출 자료 전면 삭제 및 계정 폐쇄
    -  교사·학생 계정 전원 비밀번호 변경 및 미사용 계정 정리
    -  교직원·학생 대상 개인정보보호 교육 실시
    -  교육청·교육부에 사고 보고 및 피해자 통지
    -  학부모 면담 및 피해 구제 안내
    -  제주도교육청, 개인정보보호 책임자(교장) 연수 예정
    -  A군은 촉법소년 신분으로, 생활교육위원회에서 처분 예정

□ 재발방지대책(권고사항)   

    1. 기술적 조치
       -  초기 비밀번호 사용 금지 및 최초 로그인 시 강제 변경 정책 도입
       -  전 교직원·학생 계정 MFA(다중인증) 적용
       -  구글 워크스페이스 Admin Console 통한 계정 접근 로그 상시 모니터링 및 이상 징후 탐지

    2. 관리적 조치
       -  계정 발급·관리 프로세스 개선 (패턴화된 ID·PW 금지)
       -  정기적 계정 점검 및 미사용 계정 삭제
       -  정기적 개인정보보호 교육 및 보안 인식 제고

□  관련기사(출처)  

• 도내 중학생, 수백 명 개인정보·수행평가 결과 유출 - KBS뉴스
• 제주 중학생, 교사 계정 무단 접속…400명 개인정보·성적 유출 - 디지털타임즈
• 교내 수백명 개인정보·성적 빼냈다…제주 중학생 소행에 발칵 - 중앙일보
• [단독] 중학생 1명에 교내 수백 명 개인정보 털려 '발칵'.. 어쩌다? -  JIBS뉴스
• 제주 중학생, 교사 구글 계정 뚫고 수행평가 성적 열람…학교 보안 구멍 드러났다 - 제주도민일보

 

감사합니다.