개인정보 3만건 부실 관리…대교 "정보 유출 피해 발생 시 보상"

  • ▲ 지난 3월 대교 자회사 에듀피아의 지캠프 홈페이지가 해커 공격으로 개인정보 3만건이 유출됐다. ⓒ뉴시스
    ▲ 지난 3월 대교 자회사 에듀피아의 지캠프 홈페이지가 해커 공격으로 개인정보 3만건이 유출됐다. ⓒ뉴시스


    교육기업 대교의 자회사 홈페이지가 해킹을 당하면서 탈퇴회원 개인정보 3만건가량이 유출된 것으로 드러났다.

    대교 자회사의 기존 회원정보 데이터베이스(DB)는 유출되지 않았지만  탈퇴 회원 백업자료를 빼가 DB관리에 대한 문제점이 뒤늦게 노출된 것이다.

    31일 대교에 따르면 지난 3월29일 에듀피아의 학원브랜드 지캠프(知CAMP) 홈페이지가 해킹 공격을 받아 탈퇴 회원의 이름, 주민등록번호, 휴대전화번호 등 개인정보가 유출됐다.

    당시 해킹 사실을 알아차린 대교에듀피아 측은 곧바로 방송통신위원회에 신고, 유출 피해자 등에게 관련 내용을 이메일 등을 통해 공지했다.

    문제는 삭제되어야 할 탈퇴 회원의 개인정보가 해커 손에 들어가기까지 관리가 제대로 이뤄지지 않았다는 것이다.

    대교 관계자는 "개인정보가 유출된 것은 저희 잘못이다. 해커 공격을 감지하고 곧바로 방통위에 신고했고 해당 사실을 홈페이지로 공지하면서 가입 고객 등에게 2차례 이메일을 발송했다"고 말했다.

    해킹으로 유출된 개인정보는 2008년 지캠프 홈페이지 개편 작업에서 백업된 파일이다. 당시 대교에듀피아는 A업체에 지캠프 문제은행 솔루션을 새로 구축한 홈페이지로 이관해달라고 요청했고, 회원정보를 매칭해 아이디(ID) 사용 가능 여부 등을 확인하기 위해 관련 파일을 옮겼다.

    하지만 대교에듀피아는 백업파일이 이관된 점을 제대로 인지하지 못했고 8년이 지난 뒤 해킹으로 개인정보가 유출된 후에서야 뒤늦게 알아차렸다. 

    대교 측은 "백업 파일을 인지하지 못했고 2016년까지 온 것이다. 기존 회원정보 DB로 해커가 침입하지 못했는데 백업파일을 찾아냈고, 파일 유출을 추적하다 보니깐 2008년 이관한 파일이란 것으로 확인했다"고 설명했다.

    방통위는 지난 4월까지 대교 에듀피아에 대한 현장조사 등을 진행했으며, 대교 측은 개인정보 유출에 따른 피해 발생 시 보상을 하겠다는 입장이다.

    대교 관계자는 "현재 관련 법령에는 회원 탈퇴 시 5일 이내에, 1년  미사용 시 개인정보를 삭제하도록 했지만 당시에는 규정되어 있지 않았다. 방통위 조사 결과를 기다리고 있으며 추가 피해가 발생할 경우 보상할 수 있도록 방침을 세웠다"고 말했다.