대교의 초등 전 과목 AI 학습 프로그램 '마카다미아'가 해킹 공격을 받아 이용자 개인정보가 유출된 정황이 확인됐다. 이번 사고는 대교에서 발생한 세 번째 유출 사례인 데다, 그동안 보안 예산을 지속적으로 삭감해 온 사실까지 드러나면서 우려가 더욱 커지고 있다.

28일 대교에 따르면 최근 관계사 사이트를 통해 '마카다미아' 회원정보에 무단 접근이 시도된 정황이 포착됐다. 회사 측은 이를 인지한 직후 관계사와의 통신을 차단하고, 보안 전문업체에 유출 여부 조사를 의뢰한 상태다.

유출된 것으로 추정되는 개인정보 항목은 △이름 △아이디 △암호화된 비밀번호 △생년월일 △휴대전화번호 △본인 확인 정보(CI) △이메일 주소 △주소 △전화번호 △비밀번호 확인 질문 및 답변 등으로, 개별 이용자마다 유출된 항목은 다를 수 있다. 다만 정확한 유출 규모는 아직 파악되지 않았다.

대교 관계자는 "2025년 2월25일 신원 미상의 해커가 회원정보를 열람하려 한 정황을 확인했다"며 "반면 접근된 회원정보가 외부로 유출돼 유통됐는지는 아직 명확하지 않다"라고 밝혔다.

이어 "보안 전문업체의 조사 결과를 바탕으로 시스템을 점검하고, 전사적인 보안 대책을 마련해 실행할 예정"이라며 "동일한 사고가 재발하지 않도록 보안 관리를 더욱 강화하겠다"라고 덧붙였다.

그러나 대교는 2016년에도 계열사에서 두 차례 개인정보 유출 사고가 발생한 바 있어, 그룹 차원의 보안 관리 체계 강화 의지가 충분했는지에 대한 의문이 제기되고 있다. 당시 대교의 계열사인 대교에듀피아와 강원심층수는 개인정보 보호법 위반으로 각각 2500만원의 과태료를 부과받았다.

방송통신위원회에 따르면 대교에듀피아는 홈페이지 개편 과정에서 해킹을 당해 약 2만9800건의 개인정보가 유출됐다. 심지어 이 과정에서 48만6000건의 이용자 주민등록번호를 불법적으로 수집·이용해 온 사실도 추가로 확인됐다. 강원심층수도 같은 기간 약 3000건의 개인정보가 유출됐을 뿐만 아니라, 보유 기간이 지난 이용자의 개인정보를 파기 혹은 별도 보관하지 않았다는 사실이 밝혀졌다.

그럼에도 대교는 이번 계열사 해킹 사고가 발생하기 전까지 수년간 정보보호 예산을 지속적으로 삭감해 왔다.

정보보호 공시 종합 포털에 따르면 대교의 정보보호 예산은 2022년 말 기준 30억원에서 2023년 21억원, 2024년 18억원으로 3년간 39.1% 감소했다. 반면 같은 기간 전체 정보기술(IT) 예산은 330억원에서 356억원으로 10.8% 증가했다. 이에 따라 정보기술부문 투자액에서 정보보호가 차지하는 비중은 9.1%에서 5.0%로 급감했다.

이와 관련해 대교 관계자는 "이번 해킹 사고의 정확한 경위를 외부 접근 경로를 포함해 조사 중"이라며 "정보보호 예산 감소와 관련한 부분은 추가적인 조사가 진행 중인 상황에서 답변드리기 어렵다"고 밝혔다.