메가스터디 서버 공격당해..정보유출 우려

[한겨레] 한겨레21 "지난 4일 초·중학생용 서버 다운" 보도

회사쪽 웹서버 로그기록 삭제…은폐·축소 의혹

국내 최대 사교육 업체 메가스터디의 인터넷 강의 사이트가 해킹을 당해, 초·중학생 회원 102만여명과 그 부모들의 개인정보가 대량 유출됐을 가능성이 있다고 시사주간지 <한겨레21>이 26일 보도했다.

이날 발간된 <한겨레21> 표지기사를 보면, 지난 4일 새벽 메가스터디의 인터넷 강의 사이트인 '엠베스트'(중학생용)와 '엠주니어'(초등학생용)의 서버가 다운됐다. 메가스터디 쪽은 '새벽 4시부터 밤 12시까지 20시간 동안 사이트가 운용되지 않는다'는 공지를 팝업창으로 띄웠고, 사용자들의 항의가 빗발쳤다.

<한겨레21>과 지난 23일 만난 손주은 메가스터디 대표는 "(외부의) 공격을 받아 서버에 문제가 생기긴 했다"고 인정했다. 손 대표와 메가스터디 핵심관계자들은 "(개인정보가) 해킹됐다면 해커가 거래를 요구해왔을 텐데, 그런 일은 없었다"며 "개인정보 유출 피해는 알 수 없다"고 설명했다. 하지만 메가스터디 내부 사정에 정통한 한 관계자는 "해킹을 당하는 과정에서 엠베스트와 엠주니어의 회원 정보 전체가 유출됐다"고 전했다. 해킹된 서버에 저장된 정보는 이름, 생년월일, 성별, 로그인 아이디(ID), 전화번호, 법정대리인 정보, 인지 경로, 추천인, 접속 아이피(IP), 접속 로그, 서비스 이용 기록, 결제 기록 등 22개 항목으로 통상적인 개인정보보다 훨씬 상세해 '2차 피해'가 우려되는 상황이다.

그럼에도 메가스터디 쪽은 서버에 대한 외부의 공격이 있었다는 사실을 공개하지 않고, 수사기관에 수사를 의뢰하지도 않는 등 등록 회원들의 2차 피해를 막을 사후 조처를 취하지 않았다. 특히 메가스터디 쪽은 해킹의 원인과 피해 규모 등을 파악할 수 있는 단서인 웹서버 로그 기록을 서버 복구 과정에서 삭제한 것으로 나타나, 해킹 파장을 은폐·축소하려 했던 게 아니냐는 의혹마저 일고 있다. 한 보안전문가는 "외부 공격을 당했다는 걸 알고도 원인을 파악하지도 않은 채 로그 기록을 지운다는 건 상식 밖의 일"이라고 말했다.

400만명이 넘는 초·중·고교 학생 회원을 보유한 메가스터디에 시스템 보안을 담당하는 부서나 전담 직원이 없는 것도 문제로 지적됐다. 메가스터디 쪽은 지난 4일 해킹 이후 새 장비를 도입하는 등 보안 시스템을 강화했지만, 여전히 서버 장애가 발생하고 외부의 침입 시도가 발견되는 등 시스템 불안은 계속되고 있다.

현행 법률상 해킹을 당했거나, 개인정보 유출 의심이 들 때 해당 업체가 피해 고객에게 통보하거나 정부기관에 신고해야 하는 규정이 없는 것도 허점으로 꼽힌다. 개인정보보호법 제34조는 '개인정보가 유출됐을 때'에 한해 피해 고객 등에게 통지해야 할 의무를 규정하고 있는데, 이마저도 오는 9월부터 시행되고 어길 경우에도 과태료 부과에 그치고 있다.

전상훈 카이스트 사이버보안연구센터 연구개발팀장은 "미국은 해킹을 당했을 때 공지하도록 법으로 규정하고 있다"며 "국내에서는 업체가 해킹을 당해도 언론에 어떻게든 숨기고 싶어한다"고 말했다.

이승준 기자 gamja@hani.co.kr

공식 SNS [통하니][트위터][미투데이]| 구독신청 [한겨레신문][한겨레21]

사회

메가스터디 서버 공격당해..정보유출 우려