개인정보보호위원회(이하 개인정보위)가 3월 27일 제6회 전체회의를 열고 개인정보 보호 법규를 위반한 디지털대성과 하이컨시에 대해 총 8억 9300만 원의 과징금과 1350만 원의 과태료를 부과하기로 의결했다.

이들 2개 사업자는 인터넷 강의 사업자로 입시를 준비하는 청소년이 주로 이용하고 있어 개인정보 유출에 각별한 주의를 기울일 필요가 있으나 ‘개인정보 보호법’에 따른 안전 조치와 개인정보 유출 통지 등의 의무를 위반하여 과징금과 과태료 부과 처분 등을 받게 됐다.

디지털대성의 경우 해커의 확보한 계정 정보를 무작위로 대입하는 크리덴셜 스터핑(Credential Stuffing) 공격과 게시판에 악성 스크립트가 포함된 게시글을 올리는 ‘크로스사이트 스크립팅(XSS, Cross-Site Scripting)’공격으로 회원 9만 5000여 명의 개인정보가 유출됐다.

디지털대성은 평소 공격을 당한 홈페이지에 침입 탐지와 차단 시스템 등 보안 시스템을 설치해 운영하고 있었으나 보안 정책 관리 소홀로 단시간 동안 발생하는 과도한 로그인 시도를 제대로 탐지 및 차단하지 못했으며 홈페이지 일부 페이지에 대한 취약점 점검을 누락해 게시판에 악성 스크립트가 삽입됐다.

이외에도 유출 인지 후 72시간을 경과하여 유출 통지를 완료하는 등 개인정보 보호법 제29조의 안전 조치 의무 및 제34조제1항의 유출 통지 의무를 제대로 지키지 않은 것으로 밝혀졌다. 이에 디지털대성에는 과징금 6억 1300만 원, 과태료 330만 원과 공표 명령이 내려졌다.

하이컨시의 경우에는 해커의 웹 취약점 및 무차별 대입(Bruteforce) 공격으로 회원 1만 5143명의 이름, 휴대전화 번호 등 개인정보가 유출되었다. 하이컨시는 해킹 공격을 당한 홈페이지에 침입 탐지 시스템 등을 운영하지 않은 것은 물론, 관리자 페이지에 접속 시 안전한 인증 수단을 적용하지 않았다.

또한 유출 인지 후 24시간을 경과해 유출 신고·통지를 완료하는 등 개인정보 보호법 제29조의 안전 조치 의무 및 제39조의4제1항의 유출 신고·통지 의무를 제대로 지키지 않았다. 이에 하이컨시에는 과징금 2억 8000만 원, 과태료 1020만 원, 공표 명령이 내려졌다.

개인정보처리자는 불법적인 접근 및 침해 사고 방지를 위해 운영 중인 환경에 적합한 불법 침입 차단 및 유출 탐지 시스템을 설치·운영하고 주기적으로 취약점을 점검·조치하여야 하며 외부에서 개인정보 처리 시스템에 접속 시 안전한 인증 수단을 추가로 적용하여야 한다. 개인정보위는 계정 정보를 안전하게 보호하기 위한 인증 수단으로 인증서와 보안 토큰, 일회용 비밀번호 설정 등을 권고하고 있다.

한편, 개인정보위는 빠르게 디지털화되고 있는 교육 현장에 대응하기 위해 인터넷 강의를 제공하는 대형 학원 또는 얼굴이나 지문 인식 등 생체 정보를 활용하는 교육과 학습 분야 사업자를 대상으로 개인정보 관리 실태를 점검하고 취약 요인에 대한 개선 방안을 마련할 계획이다.

석주원 기자 다른기사 보기