"교육업체 보안 못믿겠다"… 해마다 수십 수백만건 개인정보 술술

대학수학능력시험 인터넷강의 업체의 개인정보 침해 사고로, 교육기업의 정보보호 기능에 대한 불안감이 고조되고 있다.

사전 예방이 아닌 유출 후 대응이 이뤄지면서, 회원으로 가입한 어린 학생들이 피해를 보는 상황이 반복되는 모습이다.

14일 교육업계에 따르면 에스티유니타스의 자회사인 현현교육이 운영 중인 커넥츠 스카이에듀는 13일 홈페이지에 사과문을 게재하고 회원 개인정보 유출 사태에 대해 공식 사과했다.

지난해 10월12일 이전 가입한 회원들의 정보가 유출된 것을 인정한 스카이에듀는 '2016년 ISMS(정보보호관리체계) 인증을 획득한 바 있고, 인증을 유지하며 보호 조치를 해왔다. 보안에 많은 노력을 기울여왔음에도 고객 정보를 지키지 못한 점에 대해 진심으로 사과드린다'고 밝혔다.

이어 '이용해주신 고객 여러분께 심려를 끼쳐드린 점에 대해 다시 한번 사과드리며, 이번 일을 계기로 개인정보 보호에 더욱 만전을 기할 것을 약속드린다'고 덧붙였다.

유출된 회원 정보는 이름, 아이디, 이메일, 주소, 전화번호 등으로 비밀번호는 암호화되어 안전한 상태라고 스카이에듀는 강조했다.

에스티유니타스 관계자는 "현재 방송통신위원회 등 관계 기관으로부터 조사를 받고 있다. 피해에 대한 부분을 공지했다. 조사에 성실히 응하고 있다"고 말했다.

이번 사태와 관련해 '스카이에듀 정보유출사건 피해자모임' 카페가 개설됐고, 집당소송 움직임마저 보이고 있다.

그동안 교육기업의 개인정보 유출 사태는 사전 예방보다 문제가 발생한 뒤 확인되면서 파장이 일었다.

2017년 7월 메가스터디교육은 회원정보 123만건이 해커 손에 들어갔다. 당시 해커는 관리아인증 세션을 탈취해 개인정보를 조회하는 방식으로 회원 아이디, 이름, 생년월일 등을 빼냈다.

방통위는 당시 사태와 관련해 지난해 7월 당시 메가스터디교육이 운영을 소홀히 했다고 판단, 과징금 2억1900만원과 과태료 1천만원을 부과했다.

2016년 3월 대교 에듀피아의 학원브랜드 지캠프는 해킹 공격으로 탈퇴한 회원의 개인정보 약 3만건이 유출되면서 논란이 일었다. 삭제되어야 할 탈퇴 회원의 개인정보가 8년 전 백업되어 있었고, 이를 제대로 관리하지 못한 채 문제가 불거진 뒤 확인됐다. 기존 회원정보는 유출되지 않았고 밝혔지만 백업 파일에 담긴 이름, 전화번호 등은 해커 손에 들어간 뒤였다.

2014년 개인정보 유출로 곤혹을 치렀던 튼튼영어, 천재교육은 수년이 지난 뒤에야 피해 사실을 인지한 것으로 드러나기도 했다. 튼튼영어는 2009년, 천재교육은 2011년 개인정보가 유출된 것을 뒤늦게 확인했고 이들 업체는 사과문을 게재하며 진화에 나섰다.

교육기업의 경우 초·중·고교생 등을 대상으로 한 콘텐츠를 제공한다. 이에 특정 연령대가 가입에 나선다는 점에서 개인정보가 유출된다면 어린 학생들이 피해를 입게된다.

ISMS 인증 등은 해킹 위험을 완벽하게 막을 수 없다는 점에서 또다시 유출 사태를 막기 위해 교육기업들의 철저한 관리가 요구되고 있다.

한 정보보호 전문가는 "ISMS를 인증 받는다고 해서 무사고를 보증하지는 않는다. 단지 무사고 가능성을 높여줄 뿐이다. 개인정보유출 방지를 위한 노력이 필요하다"고 말했다.