보안장비 갖췄지만..123만건 해킹당한 메가스터디, 과징금 2.19억원

[이데일리 김현아 기자] 방화벽이나 침입탐지시스템을 갖췄지만 운영에 소홀했고, 상담 관리자들에 대한 개인정보보호 조치를 제대로 하지 않아 해킹 사고가 났다면 기업이 엄정하게 책임져야 한다는 결정이 내려졌다.

방송통신위원회(위원장 이효성)는 4일 지난해 7월 17일부터 7월 18일 사이에 해킹 공격을 받아 초·중등 학생 회원들의 아이디,이름, 생년월일 등 개인정보 123만 3859건(중복제거 111만 7227건)이 유출된 메가스터디교육(주)에 과징금 2억1900만 원, 과태료 1000만 원을 부과했다.

또, 위반행위의 중지 및 재발방지대책 수립 시정명령, 시정명령 처분사실 공표 등 행정처분을 의결했다.

메가스터디교육(대표 손성은)은 종업원 수 646명, 지난해 매출액 2182억 원(온라인 교육서비스 매출은 287억 원)을 기록한 유명 교육업체다.

◇관리자 세션ID 이용한 해킹

2017년 7월 17일 오전 10시 43분부터 오후 4시 14분 사이에 미상의 해커가 메가스터디 교육 상담관리자였던 신모 씨의 세션ID를 탈취해 같은 날 오후 4시 14분부터 다음 날 오전 5시 02분 사이에 관리자페이지에서 아이디,이름 등 개인정보를 조회하는 방법으로 개인정보를 txt파일로 저장해 외부로 유출했다.

상담업무의 속성상 일정 시간 동안 같은 사용자로부터 오는 요구를 하나의 상태로 보고 그 상태를 유지시켜주는 관리자인증세션을 운영할 수 밖에 없는데, 이것이 해커에 노출된 것이다. 해커는 신 씨의 세션ID를 탈취한 뒤 이를 이용해 공격스크립트를 작성해 이호스트데이터센터 등 5개 인터넷주소(IP)를 이용하는 서버에 업로드했고, 이를 이용해 개인정보를 빼갔다.

◇메가스터디 억울하다지만…관련 법 위반 확인

메가스터디 측은 펜타시큐리티 WAPPLES-2200(웹방화벽), 시큐아이 MFI 2100(침입방지시스템) 등 전문장비를 갖춰 적법하게 설치 및 운영했고, 세선ID탈취 역시 고객상담(CS)업무 특성상 어쩔 수 없었다고 항변했다.

실제로 메가스터디는 디도스 방지 솔루션까지 설치하고 초·중등 회원과 고교 회원 가입자 데이터베이스(DB)를 분리운영할 정도로 다른 기업에 비해선 보안에 신경 썼다. 이번에도 초·중등 회원 정보만 탈취됐다.

하지만 방통위는 △단순히 보안 장비를 갖추는 게 아니라 해당 시스템을 충분히 활용해 악성 프로그램의 업로드를 탐지해야 했고 △상담 관리 업무를 했던 신 씨가 업무를 보는 중에 중복으로 세션ID로 접속한 사실을 탐지하지 못했으며 △개인정보취급자(상담 관리자)가 업무를 하고 있지 않더라도 관리자 페이지의 접속이 차단되지 않도록 설정하는 등 여러 문제가 있음을 지적했다.

김재영 이용자정책국장은 “보안투자는 잘했음에도 시스템 운영 측면에서 미흡해서 해킹당한 측면이 있다. 관련 직원에 대한 투자 강화, 교육 강화가 필요하다”고 말했다.

◇방통위원들, 사무처안보다 과징금 규모 올려

방통위원들은 이날 메가스터디에 대해 과징금 2억1900만 원을 부과함으로써, 사무처가 올린 1억9500만원의 과징금보다 올렸다. 과태료는 1000만 원 그대로다.

원래 사무처는 메가스터디가 해킹 사실을 자진신고 했고 조사에 협조했다는 이유로 기준과징금에서 20%를 감경하려 했지만, 이효성 위원장을 비롯한 김석진·표철수 위원들이 신고와 조사협조 의무는 당연하다며 10% 감경으로 바꿨기 때문이다. 방통위 지침에는 최대 30% 이내에서 감경할 수있게 돼 있다.

이효성 위원장은 “빅데이터를 산업적으로 활용하려면 전제조건이 개인정보보호”라면서 “추가감경은 없는 게 어떤가 한다”고 말했지만, 이전 업체들과의 형평성을 고려해 10%는 감경해주기로 했다.

방통위는 앞으로도 개인정보보호 유출 사건에 대해 처벌을 엄격하게 해서 정부가 만전을 기하고 있다는 의지를 국민에게 보여주기로 의견을 모았다.