메가스터디 “초 · 중등부 사이트 고객 DB 유출 아니다”

 국내 최대 이러닝 업체인 메가스터디의 초·중등부 사이트에 이달 초 해킹 시도가 있었으나 고객 데이터베이스(DB)는 유출되지 않았다고 업체 측이 밝혔다.

 메가스터디(대표 손주은)는 지난 6월 4일 엠베스트의 서버가 다운됐지만 고객 DB는 유출되지 않았다고 밝혔다. 이용료 결제와 관련된 정보는 외부 결제 업체 서버에 저장되기 때문에 엠베스트 서버를 통해 유출될 수도 없다고 못박았다. 특히 메가스터디와 엠베스트는 별도 사이트이므로 메가스터디 서버가 다운된 것이 아니라고 설명했다.

 메가스터디는 “초중등부 사이트 엠베스트가 지난 4일 서버 장애로 다운된 적이 있으며, 이를 복구하는 과정에서 외부의 공격 정황을 파악했다”면서 “사고 당일 내부 개발자들과 외부 보안 전문업체가 공조해 자체 조사를 벌인 결과, 시스템이 마비돼 서비스 이용이 중단됐을 뿐 고객 정보가 유출됐다는 정황은 찾을 수 없었다”고 밝혔다.

 손은진 메가스터디 전무는 “일반적으로 정보유출을 목적으로 한 해킹이라면 사이트 마비 등 시스템 장애를 동반하지 않는 것이 보통”이라며 “추가적인 공격에 대비해 보안 점검을 강화하는 한편, 보안 단계를 최고 수준으로 높이는 등 사이트 정상화와 보안 강화 작업을 진행해 왔다”고 말했다.

 손 전무는 또 지난 22일 관계기관에서도 ‘엠베스트 해킹 정황’에 관한 첩보가 접수됐다며 메가스터디 본사를 방문해 조사를 벌였으나, 개인정보 유출 정황 등 특이점이 없는 것으로 결론 짓고 돌아갔다고 덧붙였다.

 메가스터디는 “신용카드 번호, 계좌번호 등 금융결제와 관련된 정보는 전혀 수집하지도, 서버에 저장하지도 않는다”면서 “강좌. 교재 등의 결제는 외부업체(PG사)를 통해 이뤄지므로 엠베스트의 서버에는 금융 결제와 관련된 어떠한 정보도 저장되지 않는다”고 강조했다.

 엠베스트 사이트의 결제 기록은 어떤 강좌를 신청했느냐를 보여주는 강조, 교재 신청 목록을 담은 것일 뿐이라는 설명이다.

 특히 손 전무는 사내에 보안 전문가를 두지 않아 사고에 무방비라는 모 언론사의 지적에 대해 “대부분의 기업이 보안 전문가를 사내에 두는 것보다 외부의 전문업체를 활용하는 것이 훨씬 기술적으로 안정적인 지원을 받을 수 있는 방법이라고 보고 이를 활용하고 있다”면서 “우리도 보안 관련 내부 담당자를 두고 외부 전문업체와 협력하고 있다”고 설명했다.

 또 수사기관에 수사를 의뢰하지 않은 이유에 대해서도 은폐 의도가 있어서가 아니라 의뢰할 만한 사안이 아니었기 때문이라고 말했다.

 손 전무는 “당사와 외부 전문업체의 자체 조사결과, 개인정보의 유출 정황은 없고 단순한 서버 다운으로 판단돼 수사를 의뢰할 만한 사안으로 보지 않았다”면서 “사고 발생 당일에 장애가 있음을 사이트를 통해 밝혔다”고 말했다.

정소영기자 syjung@etnews.co.kr