교사·수강생 정보 잇따라 노출…교육 플랫폼 보안체계 도마

데이원컴퍼니·에스티유니타스·아이스크림미디어 유출 사고
수강생·강사·교사 신상정보에 금융정보까지…2차 피해 우려도

(챗GPT 생성 이미지)

교육 플랫폼 업계에서 개인정보 유출 사고가 잇따르고 있다. 직무교육 플랫폼과 성인 교육 서비스, 초등교사 수업 지원 플랫폼에서 이용자 정보가 외부로 유출되면서 교육기업의 개인정보 보유 규모와 보안 관리 체계가 쟁점으로 떠올랐다.

25일 교육업계에 따르면 데이원컴퍼니와 에스티유니타스, 아이스크림미디어 등 교육 플랫폼 기업에서 잇따라 개인정보 유출 사고가 발생했다. 교육 플랫폼은 교사, 수험생, 직장인 등 이용자의 신상 정보와 학습·결제 관련 정보를 장기간 보유하는 경우가 많아 유출 정보의 성격에 따라 2차 피해 우려도 커질 수 있다.

데이원컴퍼니는 11일 패스트캠퍼스 공지를 통해 개인정보 유출 사실을 안내했다. 깃허브 마스터 계정 키값이 탈취되면서 외부 비인가 접근이 발생했다. 유출 가능 항목에는 이름, 암호화된 패스워드, 이메일, 전화번호, 주소, 배송 메시지, 직무·직급, 카드사명·카드번호 일부, 환불계좌 정보 등이 포함됐다. 개발·운영 계정 관리가 플랫폼 보안의 취약 지점이 될 수 있다는 지적도 나온다.

유출 대상은 일반 수강생에 그치지 않았다. 기업교육 B2B 고객과 사내교육 수강자 정보도 포함됐고, 강사 개인정보도 일부 유출됐다. 서비스에 따라 강사의 전화번호, 계좌정보, 주민등록번호 또는 여권번호까지 유출됐으며 일부 강사는 생년월일, 성별, 거주 국가, 국적, 음성·필기 학습 정보 등도 노출됐다.

일부 회원의 경우 카드사명, 카드번호 일부, 환불계좌 정보도 유출이 확인됐다. 데이원컴퍼니는 정확한 유출 규모와 대상자 수는 아직 확정되지 않았고, 동일 정보 주체와 서비스 간 중복 여부, 비정형 파일 포함 여부 등을 검증 중이라고 밝혔다. 이번 사고로 영향을 받은 시스템에는 ISMS 인증 범위 내 시스템도 일부 포함됐다.

에스티유니타스도 이달 초 클라우드 기반 학원 관리시스템을 통한 개인정보 유출 사실을 공지했다. 유출 항목은 일반 회원 기준 이메일, 이름, 생년월일, 성별, 전화번호 등이며 환불을 진행한 회원은 승인정보, 승인금액, 환불 계좌번호 등도 포함됐다.

에스티유니타스는 사고 인지 직후 개인정보보호위원회와 한국인터넷진흥원(KISA)에 신고하고 관계기관 조사에 협조 중이다. 외부 전문기관과 침해사고 원인 및 영향 범위에 대한 정밀 조사도 진행 중이다. 구체적인 피해 현황은 조사 결과가 확정된 뒤 공개한다는 방침이다. 현재까지 2차 피해 사례는 접수되지 않았다. 에스티유니타스는 사고 인지 다음날 김형국 대표가 참여한 비상대책위원회를 꾸리고 24시간 모니터링 체계를 운영 중이다.

앞서 아이스크림미디어도 3월 개인정보 유출 사실을 공지했다. 초등교사들이 주로 이용하는 수업 지원 플랫폼인 만큼 유출 정보에는 학교명, 학교 주소·연락처, 사용자 ID, 이름, 전화번호, 생년월일, 이메일 주소 등이 포함됐다. 현재 KISA 조사가 진행 중이며, 조사 결과가 확정되는 대로 피해 현황을 공개한다는 방침이다. 내부적으로는 추가 유출 방지를 위한 보안 업데이트를 이어가고 있다.

전문가들은 사후 수습보다 사전 대응체계 강화가 시급하다고 지적한다. 염흥열 순천향대 정보보호학과 교수는 “개인정보 보호법 개정으로 중대·반복 위반이나 대규모 피해가 발생할 경우 전체 매출액의 최대 10%까지 과징금 처분이 가능해진 만큼 기업 스스로 보안태세를 점검할 유인이 커졌다”고 말했다.

염 교수는 “클라우드나 외부 솔루션을 활용하더라도 개인정보 유출의 최종 책임은 처리자에게 귀속된다”며 “수탁사 선정 단계부터 보안 수준을 검증하고 계약으로 책임 소재를 명확히 해야 한다”고 말했다. 이어 “개인정보 최소 수집과 접근권한 관리, 이상 징후 모니터링, 로그 점검 등 기본 보안 체계를 상시적으로 운영하는 것이 중요하다”고 덧붙였다.