디지털대성·하이컨시, 총 11만명 개인정보 유출…과징금 총 8.9억

개인정보보호위원회가 개인정보보호 법규를 위반한 디지털대성과 하이컨시에 대해 총 8억9천300만원의 과징금과 1천350만원의 과태료를 부과한다고 오늘(28일) 밝혔습니다.

이들 사업자는 인터넷 강의 사업자로, 입시를 준비하는 청소년이 주로 이용하고 있어 개인정보 유출에 각별한 주의를 기울일 필요가 있지만 '개인정보 보호법'에 따른 안전조치와 개인정보 유출 통지 등의 의무를 위반해 과징금과 과태료 부과 처분 등을 받게 됐다고 개인정보위는 전했습니다.

디지털대성의 경우 해커의 '크리덴셜 스터핑' 공격과 누리집 내 게시판에 대한 '크로스사이트 스크립팅' 공격으로 회원 9만5천여명의 개인정보가 유출됐습니다.

크리덴셜 스터핑은 이미 확보한 아이디, 비밀번호를 다른 누리집에도 무작위로 대입해 로그인 정보를 확인하는 공격 기법을 뜻합니다.

크로스사이트 스크립팅은 입력값 검증 미흡으로 인해 공격자가 악성 스크립트를 삽입한 게시글 등을 등록하고, 이후 게시글을 읽은 이용자의 의도와 관계없이 악성 스크립트 실행을 유도하는 공격입니다.

디지털대성은 평소 공격을 당한 누리집에 침입탐지·차단시스템 등 보안 시스템을 설치‧운영하고 있었으나, 보안정책 관리 소홀로 단시간 동안 발생하는 과도한 로그인 시도를 제대로 탐지‧차단하지 못했습니다.

누리집 일부 페이지에 대한 취약점 점검을 누락해 게시판에 악성 스크립트가 삽입됐습니다. 또 유출 인지 후 72시간을 경과해 유출 통지를 완료하는 등 개인정보 보호법 제29조의 안전조치 의무 및 제34조 제1항의 유출통지 의무를 제대로 지키지 않은 것으로 밝혀졌습니다.

하이컨시의 경우 해커의 웹 취약점 및 무차별 대입 공격으로 회원 1만5천143명의 성명, 휴대전화번호 등 개인정보가 유출됐습니다.

해당 사업자는 해킹 공격을 당한 누리집에 침입탐지시스템 등을 운영하지 않고 관리자 페이지에 접속 시 안전한 인증 수단을 적용하지 않았습니다.

또 유출 인지 후 24시간을 경과해 유출신고·통지를 완료하는 등 개인정보 보호법 제29조의 안전조치 의무 및 제39조의4제1항의 유출신고·통지 의무를 제대로 지키지 않은 것으로 밝혀졌습니다.

개인정보 처리자는 불법적인 접근, 침해사고 방지를 위해 운영 중인 환경에 적합한 불법 침입 차단 및 유출 탐지 시스템을 설치·운영하며, 주기적으로 취약점을 점검·조치해야 합니다. 아울러 외부에서 개인정보 처리 시스템에 접속 시 안전한 인증 수단을 추가로 적용해야 한다고 개인정보위는 설명했습니다.

한편 개인정보위는 빠르게 디지털화되고 있는 교육 현장에 대응하기 위해 인터넷 강의를 제공하는 대형 학원 또는 얼굴·지문인식 등 생체정보를 활용하는 교육·학습 분야 사업자를 대상으로 개인정보 관리실태를 점검하고, 취약 요인에 대한 개선방안을 마련할 계획입니다.

당신의 제보가 뉴스로 만들어집니다.SBS Biz는 여러분의 제보를 기다리고 있습니다.홈페이지 = https://url.kr/9pghjn

짧고 유익한 Biz 숏폼 바로가기

SBS Biz에 제보하기

저작권자 SBS미디어넷 & SBSi 무단전재-재배포 금지