[디지털데일리 이종현기자] 학원가가 발칵 뒤집혔다. 학원의 주요 자산인 ‘인터넷 강의(인강)’ 영상이 불법 유출됐기 때문이다. 그동안 영화나 예능 등 영상 서비스에 집중되던 불법 유출이 학원가를 덮쳤다. 인강으로 큰 수익을 거두는 학원가가 이를 지키는 데는 소홀해 위기를 맞았다는 목소리도 나온다.

1일 <디지털데일리> 취재에 따르면 학원가의 인강 영상을 훔친 이는 텔레그램 채널 ‘누누스터디’를 운영 중이다. 채널에는 1일 새벽시간 기준 3400여명의 구독자가 참여하고 있다.

누누스터디 채널이 생성된 것은 7월10일이다. 운영자는 인원이 많아지면 영상을 더 공개하겠다는 말과 함께 메가스터디의 인기 강사 이름과 강의를 공유했다. 또 7월28일에는 입시학원 시대인재를 해킹한 증거라며 아이디와 비밀번호, 휴대전화번호 등을 텍스트로 공유하기도 했다. 샘플로 공개한 것은 500여명의 정보다.

운영자는 29일 “시대인재 리글래스 가입자 전부 다 털었다. 보안이 허술해서 인증번호가 API로 넘어온다. 추가 공개 예정은 없고 일부만 공개했다. 영상은 상위방에 공개 예정이다. 신상 정보를 뿌린 건 해킹 증명용”이라고 말했다. 또 “시대인재 털린 거 다인지했고 조치도 했는데 공지 하나도 없죠?ㅋ”라며 피해를 입은 시대인재를 조롱하기도 했다.

또 그는 누누스터디의 구독자가 5000명에 이르면 메가스터디, 시대인재 등의 콜러스(Kollus) 뷰어 워터마크, 추적코드 등 없이 추출할 수 있는 프로그램을 공유하겠다고 전했다. 콜러스는 카테노이드라는 온라인 동영상 플랫폼 기업의 비디오 플레이어를 지칭하는 것으로 보인다. 시스템 침입과는 별개로 뷰어 프로그램을 우회하는 툴을 사용한 것으로 추정되는 배경이다.

다만 이와 같은 강의 영상을 실제 누누스터디의 운영자가 훔쳐낸 것인지는 불분명하다. 복수의 텔레그램 채널에서 갖가지 인강 영상이 불법 유포되고 있으며 일부 채널은 누누스터디보다도 채널 생성일이 빠르다. 다른 곳에서 유출된 정보를 수집해 자신이 훔쳐냈다고 하는 것은 음지의 해커들 사이에서 흔히 있는 일이기 때문에 속단하기는 어렵다.

이와 같은 유출은 범죄 행각이다. 특히 개인정보를 유출한 누누스터디의 경우 개인정보보호법에 따라 수사가 불가피하다.

한편 누누스터디를 비롯한 범죄자들의 잘못과는 별개로, 인강으로 막대한 수익을 거둠에도 보안에는 적절한 노력을 기울이지 않은 학원가에 대한 비판도 제기될 것으로 전망된다.

정보보호산업법에 따라 매출액 3000억원 이상 상장사나 일 평균 이용자 100만명 이상의 서비스를 제공하는 등 주요 기업은 자신의 정보기술(IT) 및 정보보호 투자 금액을 알려야 한다. 2022년부터 본격 시행된 정보보호 공시 제도다.

영상이 유출된 기업 중 하나인 메가스터디교육도 정보보호 현황을 공시했다. 메가스터디교육은 2022년 IT에 219억원, 정보보호에 6억5975만원을 투자했다. 메가스터디의 2022년 별도 기준 매출액은 7473억원으로, 매출액 대비 정보보호 투자비율은 0.08% 수준이다. 0.08%는 제조업 수준의 투자액이다. 투자 여력이 없었다고 보기도 어렵다. 메가스터디교육은 2022년에만 1345억원의 영업이익을 거뒀다. 당기순이익은 1018억원이다. 순이익의 1% 이하를 정보보호에 투자한 셈이다.

메가스터디교육 외의 다른 기업은 어떨까.

인강보다는 학습지 등 사업에 집중하는 교육 기업 대교는 2022년 매출액 5890억원을 기록했고 IT와 정보보호에는 각각 341억원과 21억3122만원을 투자했다. 매출대비 정보보호 투자비율은 0.36%로 메가스터디교육의 4배 이상이다. 에듀윌은 매출액 1462억원에 IT‧정보보호에 137억원, 7억2464만원을 투자했다. 매출대비 정보보호 투자비율은 0.5%다. 이처럼 다른 기업과 비교했을 때 메가스터디교육의 정보보호 부실 투자는 더 눈에 띈다.

온라인동영상서비스(OTT)를 제공하는 티빙의 경우 매출액 2697억원에 정보보호에 21억9667만원을 투자했다. 매출대비 정보보호 투자비율은 0.89%다. 매출액 2402억원의 지니뮤직은 정보보호에 27억3800만원을 투자했다. 매출대비 정보보호 투자율은 1.14%다. 모두 메가스터디교육과 비교했을 때 정보보호에 훨씬 더 많은 공을 들이고 있다.

메가스터디교육은 정보보호 공시가 의무사항이 아니던 2018년무렵부터 성실히 공시에 참여해왔다. KISA는 메가스터디교육를 ‘정보보호 투자 우수기업’이라고 평가했다. 그러나 메가스터디교육이 지난 6년간 정보보호에 37억4474만원, 연 평균 6억2412만원만 투자한 것을 고려하면 의아한 대목이다.

더 많은 금액을 투자했다고 하더라도 해킹 피해를 입지 않았으리라는 보장은 없다. 천문학적인 돈을 보안에 투자 중인 정부기관이나 대기업도 유출 사고를 겪기 때문이다. 다만 충분한 투자를 했음에도 사고가 발생하는 것과, 투자를 하지 않다가 사고가 발생하는 것은 궤가 다르다. 범죄자를 잡기 위한 노력과는 별개로, 학원가 스스로가 자신의 주요 자산이자 핵심 비즈니스를 지키기 위한 적절한 수준의 노력이 촉구될 것으로 예상된다.

정보보호 공시는 한국인터넷진흥원(KISA)이 운영하는 정보보호 공시 종합 포털에서, 매출액 및 영업이익 등은 금융감독원 전자공시시스템(DART)에서 누구나 확인할 수 있다.