교육업체 개인정보 보호 사각지대---수강생에 보호자 주민번호 요구 등 최대 15건 수집

최근 천재교육에서 개인정보 유출사고가 발생하면서 학원 등 사교육업계가 개인정보 보호의 '사각지대'라는 주장이 제기되고 있다. 특히 대다수 교육업체들이 학생을 포함한 일반 수강생들에게 과도한 개인정보를 요구하면서 정보유출시 2차 피해에 대한 우려가 커지고 있다. 초·중·고교생을 상대로 하는 일부 교육업체는 해당정보 서비스 조건으로 수강생 본인은 물론 보호자의 주민등록번호까지 버젓이 요구하는 것을 비롯해 최대 15건의 개인정보를 요구하고 있다.

■보호자 주민번호까지 요구

15일 파이낸셜뉴스가 메가스터디, 교원, 웅진씽크빅, 대교, 재능교육, YBM시사닷컴, 해커스, 파고다어학원, 천재교육 등 유명 사교육업체 9곳을 대상으로 개인정보 요구 내용 등을 조사한 결과 대부분이 회원가입과 서비스 제공 과정에서 10건 안팎의 개인정보를 요구하는 것으로 나타났다.

조사대상 교육업체 중 메가스터디는 일반회원의 경우 필수입력 정보가 14건(성명·성별·생년월일·아이디·비밀번호·주소·전화번호·이메일·휴대폰 번호·학교·학년·계열·만14세 미만인 경우 법정대리인 정보·구매정보)에 달했다. 이 회사의 아이핀 회원에 가입하기 위해서는 추가로 아이핀 번호까지 포함돼 총 요구 정보가 15건이다.

재능교육은 이메일, 휴대전화번호, 주소 등 최대 13건의 개인정보를 수집하고 있고, 교원도 서비스 이용을 위해서는 13건에 달하는 정보를 입력해야 한다.

특히 교원 EDU사업부의 경우 학생 본인은 물론 보호자의 주민등록번호까지 요구하고 있다. 교원은 EDU사업부 뿐 아니라 구몬사업부 서비스제공 회원에게 주민등록번호를 받고 있고 특히 신용카드번호와 은행계좌정보도 필수항목으로 지정했다.

교원은 '빨간펜'과 '구몬학습'으로 회원수가 250만명에 달한다.

이밖에도 웅진씽크빅이 12건, 대교와 천재교육이 11건, YBM시사닷컴이 8건의 개인정보를 수집하고 있다..

전문가들은 이같은 교육업체들의 정보요구가 과도하다고 지적한다. 한양대 윤선희 교수는 "선진국이 간단한 개인 확인 절차만 하는데 비해 우라나라는 너무 많은 정보를 요구하고 있다"면서 "특히 미성년자에게까지 주민등록번호를 요구하는 것은 문제"라고 말했다. 선진국의 경우 성년이 된 이후에야 개인정보 관리를 하는 것으로 알려져 있다. 윤 교수는 "기업들이 너무 많은 정보를 보유하고 있기 때문에 해킹이나 유출의 타깃이 되는 측면도 있다"고 지적했다.

■잇단 유출사고…정보관리 비상

천재교육의 회원정보 유출로 교육업체들도 비상이 걸렸다. 천재교육측도 안전행정부와 한국인터넷진흥원의 통보로 사실을 인지했고 수사결과가 나오지 않았기 때문에 아직 정확한 유출경로를 파악하지 못하고 있다.

하지만 교육업계에서는 이같은 정보유출 사고가 어느 업체에서든 발생할 수 있다는 반응이다. A교육업체의 보안 담당자는 "웬만한 업체들은 외부에서 비정상적으로 들어오는 것을 감시하는 시스템을 구축해 모니터링하고 있다"면서 "10명이 1명의 도둑을 못잡는다는 말이 있듯이 완전한 보안은 쉽지 않다"고 털어놨다. 특히 "대부분의 보안 솔루션이나 대책들이 이미 발생한 사고를 바탕으로 만들어졌지만 해커들은 새로운 도구를 가지고 침입하기 때문에 방어망을 능가한다고 봐야한다"고 말했다. 결국 이 담당자도 개인정보 수집을 최소화하거나 개별정보들의 암호화에 더 신경을 써야 한다는 견해를 밝혔다.

또 다른 교육업체 관계자는 "올해 홈페이지 개편을 앞두고 개인정보 수집을 최소화하는 방향으로 시스템을 구축하고 있다"면서 "특히 개별 정보들을 암호화하는 쪽으로 논의가 진행 중"이라고 말했다.

■개인정보 관리 법령 일원화 시급

상당수 업체들은 개인정보보호법과 정보통신망법 사이에서 어떤 법령을 따라야 할지를 놓고 혼란을 겪고 있다. 정보통신망법은 이용 착오 등을 막기위해 IP 주소나 접속로그 등을 저장하게 돼 있지만 이는 개인정보 취득을 최소화하라는 개인정보보호법과 상충된다. 때문에 같은 교육업체들 간에도 웅진씽크빅과 재능교육은 접속로그, 쿠키, IP정보 등을 수집하고 있다고 공지했지만 나머지 업체들의 개인정보처리방침에는 이같은 사실이 빠져있다.

B교육업체 보안 담당자는 "업체들마다 혼란을 겪고 있고 실제로 최근 안전행정부에 어느 법안이 우선인지 질의를 해 놓은 상태"라며 "온-오프라인 사업중 어느쪽의 비중이 크냐에 따라 개인정보 관리를 다르게 적용하고 있다"고 말했다. 한 교육업체가 한국인터넷진흥원에 두 법안에 대해 질의한 결과로는 정보통신망법이 우선이라는 답변을 받은 것으로 알려졌다.

이 관계자는 "교육업체들이 오프라인에서 시작한 후 온라인으로 사업을 확대하는 가운데 두 법안 사이에서 혼란을 겪고 있다"면서 "관련 법령의 일관성과 일원화가 시급하다"고 말했다.

cynical73@fnnews.com 김병덕 기자