온라인에서 손쉽게 구할 수 있는 학생·학부모 개인정보는 갈수록 진화하는 보이스피싱 범죄에 악용될 가능성이 높다. 그러나 교육기관의 대규모 개인정보 유출에 따른 보이스피싱 등 2차 피해 현황은 제대로 파악되지 않고 있는 실정이다. 사교육 시장의 개인정보 관리도 사각지대에 놓여 있다는 지적이다.
24일 국민일보 취재를 종합하면 2021년부터 올해 8월까지 교육기관에서 유출된 개인정보는 무려 573만건에 달하지만 교육부는 보이스피싱 등 2차 피해 현황을 제대로 파악하지 못하고 있다. 교육부 관계자는 24일 “현재까지 (개인정보 유출 관련) 교육부에 보고된 2차 피해는 0건”이라고 말했다.
개인정보보호법 시행령 40조2항에 따르면 개인정보처리자는 유출된 정보가 범죄에 연루되는 등의 사실을 확인하면 지체없이 전문 기관에 신고해야 한다. 이에 따라 교육부도 산하 기관에서 유출된 정보가 보이스피싱에 사용되는 등의 피해가 파악되면 즉시 신고할 의무가 있다.
보안 전문가들은 유출된 학생·학부모 개인정보가 이미 보이스피싱 범죄에 이용되는 것으로 보고 있다. 황석진 동국대 국제정보보호대학원 교수는 “가족관계까지 그대로 드러나는 개인정보는 표적형 사기를 시도하는 데 좋은 재료”라고 말했다. 보안업체 씨엔시큐리티 류승우 대표는 “학원발 정보는 이미 10년 넘게 다크웹 등에서 거래돼 왔다”며 “보이스피싱 조직이 직접 데이터베이스(DB)를 해킹하거나, 온라인 거래로 정보를 확보해 범행에 사용하는 것으로 파악하고 있다”고 말했다.
실제로 자녀 사칭을 비롯한 신종 보이스피싱 범죄는 끊이지 않고 있다. 경찰청에 따르면 올해 1~10월 보이스피싱 피해액 규모는 1조566억원으로 집계됐다. 연간 피해액이 1조원을 넘긴 것은 사상 최초다. 경찰청 전기통신금융사기 통합신고대응센터는 지난 6월 보이스피싱 주요 접수 사례로 자녀 협박 피싱 등 4가지 유형을 공지하기도 했다. 자녀가 학원에 있는 시간을 노려 납치를 했다고 속여 돈을 요구하는 등의 수법이 포함된다.
특히 학원가의 개인정보 유출은 실태 파악조차 제대로 되지 않고 있다. 사교육 업종의 개인정보 유출을 관리하는 개인정보보호위원회는 관련 현황을 별도로 관리하지 않고 있다. 지난해 디지털대성(대성마이맥)에서 해킹으로 회원 9만5000여명의 개인정보가 유출됐고, 2023년 시대인재의 온라인 교육 사이트 ‘리클래스’에서도 1만5000여명의 개인정보가 유출됐다. 현행 개인정보보호법상 1000명 이상일 경우만 정보 유출 시 신고 의무가 있다는 점을 감안하면 중소형 학원가에서 발생하는 유출 사고는 더 빈번할 것으로 추정된다. 특히 대치동 등 특정 지역 소규모 학원에서 학생 개인정보 관리가 어떻게 되고 있는지 관리·감독하는 기관은 없는 실정이다.
황 교수는 “다크웹 등에 개인정보가 한 번 유출되면 재유통을 막을 수 없어 회수는 사실상 불가능하다”며 “책임 기관들은 유출 현황만 집계하는 게 아니라 추가 피해가 있었는지 등 심층 조사하는 체계를 갖춰야 한다”고 말했다.
이찬희 조민아 기자 becoming@kmib.co.kr