패스트캠퍼스·콜로소 등 8개 브랜드 개인정보 유출…깃허브 계정 탈취가 발단

핵심 요약

온라인 강의 플랫폼 기업 데이원컴퍼니가 운영하는 8개 브랜드에서 대규모 개인정보 유출 사고가 발생했다. 깃허브(GitHub) 마스터 계정 키 값 탈취를 통한 시스템 침입이 원인으로, 이름·이메일·전화번호·암호화된 비밀번호는 물론 자택 주소와 배송 메모까지 유출된 것으로 확인됐다. 국외 회원까지 포함하면 피해 범위가 상당할 것으로 우려된다.

주요 내용

사고 경위

데이원컴퍼니는 11일 공지사항을 통해 "지난 8일 시스템 내 보안 사고가 발생했을 가능성을 인지해 관련 위협을 즉시 차단하고 보완 조치를 완료했다"고 밝혔다. 회사 측 설명에 따르면, 개발자 코드 협업 플랫폼인 깃허브 서비스의 마스터 계정 키 값이 탈취됐으며, 이를 통해 지난달 9일 최초 침입이 이루어지면서 이번 유출 사고로 이어졌다.

피해 브랜드 및 유출 항목

이번 사고로 피해를 입은 산하 브랜드는 다음과 같다.

• 패스트캠퍼스, 콜로소, 제로베이스, 마이라이트, 뉴스프레소, 리스픽, 샤이니영어, 워너스픽 (총 8개)

유출된 개인정보 항목은 아래와 같다.

• 기본 항목: 이름, 이메일 주소, 전화번호, 암호화된 비밀번호
• 추가 항목: 주소 및 직무·직책 정보(해당 정보를 입력한 고객에 한함)
• 배송 메모: 뉴스프레소, 마이라이트, 워너스픽, 샤이니영어 고객의 택배 주문 시 기재한 메모

피해 규모

총 피해 인원은 아직 공식 공개되지 않았다. 다만 데이원컴퍼니 전체 브랜드의 통합 누적 회원 수가 100만 명을 돌파한 것으로 알려진 만큼, 실제 피해 규모는 상당할 것으로 전망된다. 특히 직업 스킬 교육 브랜드 콜로소는 국내 회원 약 45만 명 외에도 일본·북미·중화권·동남아 등 국외 회원 약 25만 명을 보유하고 있어, 이번 사고의 피해가 국내외로 확산될 가능성도 제기된다.

데이원컴퍼니는 "현재 고객 정보가 공개되거나 악용된 정황은 확인되지 않았으나 안전을 위해 계정 비밀번호를 변경해야 한다"며 재발 방지에 최선을 다하겠다고 밝혔다.

전문가 분석

이번 사고는 개인정보보호법 위반 여부 및 개인정보보호위원회(개보위)의 조사·처분 가능성과 맞닿아 있다는 점에서 주목된다.

법령 위반 검토: 개인정보보호법 제29조는 개인정보처리자에게 안전성 확보에 필요한 기술적·관리적 조치 의무를 부과한다. 깃허브 마스터 계정 키 값이 외부에 노출·탈취된 경위에 따라, 접근통제 미흡이나 인증정보 관리 부실이 인정될 경우 동법 위반으로 제재를 받을 수 있다.

개보위 신고 의무: 개인정보보호법 제34조에 따라 정보주체의 개인정보가 유출된 경우, 개인정보처리자는 72시간 이내에 개보위에 신고하고, 정보주체에게 지체 없이 통지해야 한다. 최초 침입 시점(지난달 9일)과 공지 시점(이달 11일) 사이의 간격이 길어, 신고·통지 기한 준수 여부도 쟁점이 될 수 있다.

국외 이전 이슈: 콜로소 서비스의 국외 회원 데이터가 포함된 경우, 개인정보의 국외 이전 관련 규정 준수 여부도 추가 검토 대상이다.

실무 시사점: 이번 사고는 외부 개발 도구(깃허브)의 인증정보 관리 미흡이 대규모 개인정보 침해로 이어진 사례다. 기업은 서드파티 플랫폼의 API 키·액세스 토큰 등 인증정보에 대한 주기적 점검과 최소 권한 원칙 적용을 강화할 필요가 있다.

실무 연계 포인트

• 개인정보보호법 제29조: 안전성 확보 조치(접근통제, 인증정보 관리)
• 개인정보보호법 제34조: 유출 통지·신고 의무 및 72시간 신고 기한
• 개인정보 안전성 확보조치 기준 고시: 외부 서비스 연동 시 인증정보 보호 기준
• 정보주체 권리보호: 유출 피해 최소화를 위한 즉시 비밀번호 변경 권고 및 후속 모니터링 필요