메가스터디 해킹사건 메가톤급 정보유출 우려

사교육 1위 업체, 해킹당하고도 공개는커녕 로그 기록조차 남기지 않아…

102만여 명 학생과 부모의 ‘가족정보’ 유출 의혹에 “유출 여부 알 수 없다” 답변

지난 6월4일 새벽, 한국 최대 사교육 업체 메가스터디의 인터넷 강의 사이트인 ‘엠베스트’(중학생용)와 ‘엠주니어’(초등학생용)의 서버가 다운됐다. 메가스터디 쪽은 ‘새벽 4시부터 밤 12시까지 20시간 동안 사이트가 운용되지 않는다’는 공지를 팝업창으로 띄웠다. 예고 없는 사이트 운용 불가의 이유는 밝히지 않았다. 사용자들의 항의가 빗발쳤다.
무슨 일이 벌어진 것일까? 서버 다운의 이유는 외부의 해킹이었다. 메가스터디 쪽도 이런 사실을 사실상 인정했다. 메가스터디의 손주은 대표는 6월23일 기자와 만나 “(외부의) 공격을 받아 서버에 문제가 생기긴 했다”고 밝혔다.

법정대리인 정보, 결제 기록 등 22개 항목

엠베스트와 엠주니어는 서버를 공유하는데, 초·중학생 등록 회원만 102만여 명에 이른다. 이 학생들의 부모 등 법정대리인을 더하면 그 수는 훨씬 늘어난다. 해킹에 따른 개인정보 유출 피해는 없었을까? 해킹은 정보 회득을 목적으로 하는 경우가 대다수다. 손주은 대표는 “개인정보 유출 피해는 알 수 없다”고 말했다. 메가스터디의 핵심 관계자들은 “(개인정보가) 해킹됐다면 해커가 거래를 요구해왔을 텐데, 그런 일은 없었다”고 덧붙였다. 메가스터디 쪽은 이를 근거로 ‘해킹은 당했지만 개인정보 유출은 없었을 수 있다’고 판단하는 듯하다. 하지만 해커가 해킹한 정보를 무기로 해킹당한 쪽에 늘 직거래를 요구하는 것은 아니다. 해킹으로 빼낸 정보를 그것을 원하는 다른 이들에게 팔아넘기는 경우가 더 많다.

» 서울 서초구에 위치한 메가스터디 본사. 메가스터디는 설립 10년 만에 매출 2457억원의 사교육 1위 업체로 성장했다. 가입 회원의 수는 400만여 명에 이를 것으로 추정된다. 한겨레21 김경호

메가스터디 내부 사정에 정통한 한 관계자는 메가스터디 쪽의 공식 해명과 다른 증언을 했다. 이 관계자는 에 “해킹을 당하는 과정에서 엠베스트와 엠주니어의 회원 정보 전체가 유출됐다”고 전했다. 102만여 명에 이르는 초등학생과 중학생 등록회원의 개인정보가 유출됐다는 것이다. 학생 등록 회원의 부모 등 법정대리인의 개인정보를 고려하면 그보다 훨씬 많은 개인정보가 유출됐을 수 있다. 메가스터디 쪽은 통상 미성년인 초·중등 학생의 회원 등록과 강의 결제의 편의를 돕는다며 학생 부모가 함께 가입할 것을 권한다.

학생과 그 부모의 개인정보가 한꺼번에 유출됐다면, 이는 통상적인 개인정보 유출보다 문제가 복잡하고 심각하다. 단순 개인정보를 넘어 ‘가족정보’이기 때문이다. 개인정보가 유출됐다고 증언한 관계자는 “만약 부모와 아이의 정보를 동시에 이용하려고 마음먹은 쪽으로 이 자료가 넘어갔을 때 2차 피해를 생각해보면 문제의 심각성을 알 수 있을 것”이라고 말했다. 더구나 해킹당한 엠베스트·엠주니어 사이트 서버에 저장된 정보는 통상적인 개인정보보다 훨씬 상세하다. 이름, 생년월일, 성별, 로그인 ID, 전화번호, 법정대리인 정보, 인지 경로, 추천인, 접속 IP, 접속 로그, 서비스 이용 기록, 결제 기록 등 22개 항목에 이른다.

해커의 해킹 목적이 어떠냐에 따라선, 상상하기 어려운 2차 피해가 우려되는 상황이다. 그러나 메가스터디 쪽은 등록 회원들의 2차 피해를 막을 사후 조처를 취하지 않았다. 메가스터디 쪽은 서버에 대한 외부의 공격이 있었다는 사실을 공개하지 않았다. 그냥 이유도 밝히지 않은 채 ‘사이트가 운영되지 않는다’고만 공지했을 뿐이다. 수사기관에 수사를 의뢰하지도 않았다.

개인정보가 유출됐다고 증언한 관계자는 “만약 부모와 아이의 정보를 동시에 이용하려고 마음먹은 쪽으로 이 자료가 넘어갔을 때 2차 피해를 생각해보면 문제의 심각성을 알 수 있을 것”이라고 말했다. 블랙박스 같은 로그기록 없어져

대신 메가스터디 쪽은 내부 정비에 힘을 쏟았다. 외부 공격이 있던 당일인 6월4일 서버가 6시간 넘게 작동되지 않자 임원회의가 소집됐다. 손주은 대표는 “(6월4일) 낮 12시30분쯤으로 기억한다. 그 회의에서 보안을 철저히 하자는 결론을 내렸다”고 밝혔다. 또한 “(해킹에 따른 정보 유출 등) 정황을 다 파악하지는 못했다”고 덧붙였다.

메가스터디 쪽은 외부 공격에 의해 서버가 다운된 것으로 판단했는데도 해킹의 원인과 피해 규모 등을 파악하고 있지 못하다는 주장이다. 왜 그럴까. 해커가 이용한 IP와 피해 규모 등을 파악하려면 서버에 남아 있는 웹서버 로그 기록이 필요하다. 이 로그 기록은 쉽게 표현하면, 항공기나 자동차의 블랙박스와 같은 것이다. 어떤 침입이 있었을 때 침입자의 정체, 침입 유형, 침입에 따른 피해 등을 고스란히 기록하고 있기 때문이다.

기자는 6월23일 서울 서초동 메가스터디 본사를 찾아가 로그 기록 확인을 요청했다. 그러나 로그 기록은 남아 있지 않았다. 자신을 메가스커디 ‘웹 담당자’라고 밝힌 관계자는 “(서버 다운) 당시 항의가 빗발쳐 사이트를 일단 복구해야 한다는 생각에 로그 기록을 남기지 않고 바로 OS(운영체제)를 갈아엎었다”며 “기록은 남아 있지 않다”고 말했다.

» 6월 4일 엠베스트와 엠주니어의 서버가 다운됐다. 회사는 애초 서버 부하를 원인이라고 공지했으나, 〈한겨레21〉에 해킹임을 인정했다.

해킹을 당한 뒤 서버를 복구하기 위해 로그 기록을 남기지 않고 OS를 갈아엎는 일은 흔할까. 한 보안전문가는 “일반적인 개인이나 소규모 업체라면 그럴 수도 있다”면서도 “하지만 외부 공격을 당했다는 걸 알고도 원인을 파악하지도 않은 채 로그 기록을 지운다는 건 상식 밖의 일”이라고 말했다. 로그 기록이 남아 있지 않다면, 해커 역추적이나 피해 규모 확인 등이 기술적으로 사실상 불가능하기 때문이다. 이 문제에 대한 메가스터디 쪽의 인식 수준은 당황스러울 정도다. 메가스터디 핵심 임원들은 일관되게 ”로그 기록이 무엇인지 모른다”거나 “(로그 기록을 지운) 사실을 알지 못했다”거나 “담당자의 실수”라고 했다.

메가스터디 쪽의 공식 설명에 따르면, 메가스터디 쪽은 로그 기록을 분석하기보다는 보안 시스템을 강화하는 데 대응의 초점을 맞췄다. 수천만원에 이르는 장비를 구입해 보안 시스템 구축 작업을 했다는 게 메가스터디 쪽 설명이다. 지난 6월4일 낮에 열린 임원회의의 “보안을 철저히 하자는 결론”에 따른 것이다.

메가스터디 쪽이 설명한 이런 후속 조처는 진실 여부를 논외로 하더라도, 문제가 많다는 게 전문가들의 지적이다. 다른 보안전문가는 “로그 분석을 하지 않고, 달리 말하자면 원인도 파악하지 못한 채 보안장비를 들인다는 것은 해커가 다시 드나들 수 있는 웹상의 취약점을 그대로 둔 채 하드웨어만 바꾸는 것”이라고 지적했다. 이 전문가는 “정말 원인을 모르고 그런 후속 조처를 취했다면 시스템의 약점을 보완하지 못해 해킹이 다시 발생할 수도 있어 헛돈을 쓴 셈”이라며 “만약 원인을 알고도 그렇게 보안 시스템을 구축했다면 원인을 외부에 공개할 수 없는 모종의 상황이 있었다는 뜻”이라고 말했다.

“회사가 감추고 있는 게 분명히 있다. 서버가 망가진 뒤 (회사에서) 로그 기록을 분석했으며, (외부 공격에 이용된 IP의 위치가) 중국 쪽임을 파악한 것으로 알고 있다. 이미 (사고) 한 달 전부터 해킹의 움직임이 감지됐다는 말도 들었다.”- 메가스터디 관계자 해킹 재시도 흔적, 2차 피해 위험

로그 기록 분석 및 해킹 정황 파악 등과 관련해서도 메가스터디 내부 사정에 정통한 관계자는 메가스터디 쪽의 공식 해명과 다른 증언을 내놨다. 이 관계자는 “회사가 감추고 있는 게 분명히 있다”며 “서버가 망가진 뒤 (회사에서) 로그 기록을 분석했으며, (외부 공격에 이용된 IP의 위치가) 중국 쪽임을 파악한 것으로 알고 있다”고 말했다. 이 관계자는 “이전 로그 기록까지 들여다보고 이미 (사고) 한 달 전부터 해킹의 움직임이 감지됐다는 말도 들었다”고 덧붙였다.

엠베스트·엠주니어 사이트 서버에 대한 외부의 공격, 곧 해킹 시도가 몇 차례나 있었는지에 대한 메가스터디 쪽의 공식 해명도 의문의 여지가 있다. 메가스터디의 핵심 임원들은 지난 6월23일 기자를 만난 자리에서 “6월4일 이후 정상적으로 운영되고 있다”고 강조했다. 그러나 이는 사실이 아니다. 기자가 ‘6월18일에도 서버 장애가 있지 않았느냐’고 따져 묻자, 메가스터디 쪽 관계자들은 뒤늦게 이런 사실을 인정했다. 메가스터디 콜센터 직원도 ‘6월 들어 사이트에 문제가 잦다’는 지적에 “페이지가 자주 내려진 부분(서버 다운을 뜻함)이 있었다”며 “회원정보 유출과 관련된 보안 점검 때문이었다”고 답했다.

메가스터디의 내부 사정에 정통한 관계자는 서버 장애와 관련해 좀더 심각한 증언을 했다. 이 관계자는 “최근 사이트 서버 장애 사고가 또 있었다”며 “최근까지 사고를 일으킨 것으로 추정되는 중국 쪽 IP가 사이트에 들락거리고 있다”고 말했다. 메가스터디 쪽의 보안 시스템 강화 노력 뒤에도 해킹 시도가 여전하다는 뜻이다.

실제 서버가 처음 다운된 6월4일 이후 트래픽이 비정상적으로 증가하고 있다. 한 IP로 접속하는 회원 수가 비정상적으로 많은 사례도 눈에 띄게 증가했다. 6월4일 이후에만 한 IP로 최소 수십 명에서 수백 명까지 접속하는 건이 5만 건에 이른다. 물론 트랙픽 급증과 5만 건의 IP가 개인정보 유출을 직접적으로 보여주는 증거는 아니다. 트래픽은 메가스터디 쪽의 마케팅을 통해서도 증가할 수 있기 때문이다. 이와 관련해 메가스터디 쪽에서는 “추천 이벤트를 통해 친구들을 추천해주면 강의 마일리지를 주는 행사를 5월부터 하고 있는데, 5만 건 중 상당수는 그것을 악용한 사례로 보인다”고 말했다. 초등학생과 중학생들이 주민등록번호 생성기를 이용해 가입을 하고 마일리지를 가져갔다는 얘기다. 하지만 이 설명은 최근의 이상 상황에 대한 해명으로는 상식에 부합하지 않는 측면이 많다. 메가스터디의 한 관계자도 “5만 건이 모두 추천 이벤트와 관련됐다고 말할 수는 없을 것 같다”고 말했다.

» 메가스터디가 연 2010 정시지원전략 설명회. 최대 사교육 업체답게 학부모와 학생들의 큰 신뢰를 얻고 있다는 평가가 많다. 한겨레21 김명진

사실 전세계가 네트워크로 그물망처럼 얽혀 있는 21세기의 정보사회에 해킹 사고는 누구나 당할 수 있는 일이다. 세계 굴지의 기업들도 해킹 사고의 안전지대는 아니다. 시티그룹도, 소니도 당했다. 문제는 해킹 사고 이후 후속 대처다. 국내 최대 규모의 인터넷 강의를 운영하는 메가스터디 쪽의 이번 사고가 끼칠 사회적 파장에 대한 인식 수준은 당황스러울 정도다. 외부의 공격, 곧 해킹 사실을 외부에 알리지 않았고 수사 의뢰도 하지 않은 점을 지적하자, 메가스터디의 핵심 관계자는 “우리가 피해자인데 신고를 의무적으로 해야 하는 것은 아니지 않으냐”고 되물었다. ‘개인정보 유출 피해는 알 수 없다’면서도, 해킹에 따른 개인정보 유출 및 2차 피해 위험에 대한 우려나 고민은 느껴지지 않았다. 한 IP로 수백 명까지 접속하는 이상 징후가 보인다는 지적에는 “왜 (수백 명이) 한꺼번에 동영상 강의라도 들으려고 했나”라며 농담으로 받아넘기기도 했다. “그게 뭐기에 이렇게 난리냐”고 기자에게 되묻기도 했다. 기자가 해킹이라는 말을 꺼내자, 메가스터디의 핵심 관계자는 “해킹이라는 말을 쓰지 말자. 그건 우리 사이트가 공격받은 것과는 다른 것 아니냐. 개인정보가 유출됐다는 걸 단정하는 말이다”라고 따지기도 했다. 하지만 해킹은 전자회로나 컴퓨터의 하드웨어, 소프트웨어, 네트워크, 웹사이트 등 각종 정보 체계가 본래의 설계자나 관리자, 운영자가 의도하지 않은 동작을 일으키도록 하거나 체계 내에서 주어진 권한 이상으로 정보를 열람·복제·변경하는 걸 가능하게 하는 행위를 광범위하게 이르는 용어다. 메가스터디가 운용하는 서버가 공격받았다는 건 곧 해킹을 당했다는 뜻이다.

보안 전담 직원도 없어

400만 명이 넘는 초·중·고교 학생 회원을 보유한 메가스터디에는 시스템 보안을 담당하는 부서는커녕 전담 직원도 없다. 메가스터디의 고위 관계자는 “한 업체에 외주를 주고 있다”며 “내부 보안 담당 직원이 없는 것도 아니다”라고 말했다. 하지만 이 고위 관계자가 ‘담당 직원’이라고 한 이는 보안전문가가 아니라, 웹사이트의 전체 관리를 맡은 웹관리자일 뿐이다.

이런 허술한 보안 의식이나 후속 대처가 메가스터디만의 문제는 아닌 것 같다. 메가스터디 관계자는 “우리가 잘한 것은 없지만, 다른 업체들도 개인정보에 대해서는 마찬가지”라며 “어느 사이트나 해킹 공격은 늘 있고, 서버가 다운된 경우에는 자체적으로 해결하고 넘어간다. 왜 우리만 문제가 되는 것인지 모르겠다”고 말했다. 다른 업체도 사정이 별반 다르지 않다는 주장이다.

메가스터디 관계자는 오히려 “만약 그렇다고 해도 우리가 어떻게 해야 하는 것이냐. 신고해야 하는 것인지, 다른 어떤 것을 해야하는 것인지 잘 모르겠다”고 되물었다. 해킹으로 개인정보가 유출됐다면, 메가스터디에서 뭘 어떻게 해야 하느냐는 물음이다.

해킹 내역 공개 의무화 필요

실제 해킹을 당했거나, 개인정보 유출 의심이 들 때 해당 업체나 당사자가 의무적으로 신고하도록 규정한 법률은 없다. 개인정보를 규율하는 대표적 법률인 개인정보보호법을 살펴보면, 제34조에 개인정보가 유출됐을 때 통지해야 할 의무를 규정하고 있다. 하지만 이마저도 ‘유출됐을 때’라고 확정해 규정하고 있을 뿐이고, 오는 9월에 시행되는데다 이를 어길 경우 과태료를 부과하는 정도다.

지난 6월8일 미국 증권거래위원회는 각 상장기업이 과거 사이버 공격을 당했거나 앞으로 당할 가능성 등 해킹과 관련한 모든 내역을 숨기지 말고 고객에게 공개할 것을 의무화했다. 공개 내용에는 ‘위험’도 포함되는데, 위험은 과거의 사이버 공격뿐만 아니라 미래의 사이버 공격, 해킹에 따른 영향까지 포함된다. 해킹 내역 공개 의무화는 미연방 증권거래법의 투자자 보호 조항에 근거를 둔 것으로 지키지 않으면 처벌하도록 규정하고 있다.

하어영 기자 haha@hani.co.kr·이정훈 기자 ljh9242@hani.co.kr

메가스터디는 어떤 회사?

'손사탐' 가족 경영, 시가 9162억원 회사

‘1주당 14만4500원(액면가 500원).’ ‘시가총액 9162억원.’

메가스터디의 6월24일 기준 가치다. 온라인 교육과 학원을 운영하는 기업이 코스닥 시가총액으로 14위다. 대기업 계열사인 GS홈쇼핑, SK커뮤니케이션즈 등도 그 아래에 있다.

메가스터디는 2000년 7월12일 등장했다. 서울대 서양사학과를 졸업한 손주은(50) 대표가 졸업 이후 과외와 학원강사를 거쳐 설립한 회사다. 손 대표는 졸업 뒤 바로 과외를 시작해 고액 과외선생을 거쳐, 30대에 서울 강남 학원가의 스타강사 ‘손사탐’(사회탐구)으로 명성을 얻었다. 이어 40대에 직접 회사를 차렸다.

2000년 직원 5명으로 시작한 회사는 고속 성장을 거듭했다. 현재는 참고서 출판회사 메가북스를 비롯해 의·치대 등 전문대학원 입시교육학원 메가엠디, 직영학원과 외부 단체급식을 위한 메가푸드앤서비스 등 계열사 7개를 거느리고 있다. 여기에 직영학원이 서울 강남·서초·강북·노량진·신촌·성북 등 7곳에 있고, 경기도 광주·남양주·용인 등에는 기숙학원이 있다. 특히 지난해 12월 문을 연 경기도 용인시의 ‘양지기숙사학원’은 최대 수용 인원 1천 명으로 연간 150억원의 매출이 점쳐지고 있다. 여기에 경기도 분당·수원·용인에는 협력학원이 있다.

그만큼 매출도 기하급수적으로 늘었다. 설립 첫해인 2000년 매출 5억8천만원을 기록한 회사는 2002년 203억원, 2004년 502억원에 이어 2006년 매출 1천억원을 돌파했다. 회사를 세운 지 7년 만이었다. 매출 2천억원 돌파는 더 빨랐다. 2년 만인 2008년 2023억원을 기록했다. 지난해에는 매출 2457억원, 영업이익 814억원을 기록했다.

가입 회원도 엄청난 규모다. 지난 4월을 기준으로 누적 회원은 고등부 302만9천여 명, 중등부 102만7천여 명에 이른다.

지배구조는 가족이 경영하는 형태다. 손주은 대표가 주식 125만7057주(지분율 19.83%)로 가장 많이 소유하고 있으며, 처남 김성오 사장이 16만1967주(지분율 2.55%)를 보유하고 있다. 동생 손성은 고문도 17만7812주(2.8%)를 갖고 있다. 손 대표는 올해 초 국내 100대 주식 부자 명단에 이름을 올렸다.

이정훈 기자 ljh9242@hani.co.kr