인터넷 강의 업체도 뚫렸다... 개인정보위 제재

㈜디지털대성·㈜하이컨시에 과징금·과태료 부과
9만5000여명 이상 개인정보 유출돼

개인정보 보호법을 위반해 회원 정보가 유출된 인터넷 강의 업체들이 과징금과 과태료를 부과받았다.

개인정보보호위원회는 27일 제6회 전체회의를 열고 개인정보보호 법규를 위반한 ㈜디지털대성과 ㈜하이컨시에 총 8억9300만 원의 과징금과 1350만 원의 과태료를 부과하기로 의결했다.

‘대성마이맥’의 온라인 강의 서비스를 운영하는 ㈜디지털대성의 경우, 해커가 기존에 확보한 아이디와 비밀번호를 무작위 대입하는 방법으로 로그인 정보를 알아냈다. 이어 홈페이지 내의 취약점을 통해 악성 코드를 심어 9만5000여 명의 개인정보가 유출된 것으로 확인됐다.

해당 사업자는 보안시스템을 설치·운영하고 있었으나, 관리 소홀로 인해 해커의 공격을 탐지·차단하지 못한 것으로 밝혀졌다. 또 유출을 인지한 후 유출통지를 완료하는데 72시간이 넘는 등 개인정보 보호법상 안전조치 의무와 유출통지 의무를 다하지 않은 것으로 드러났다. 개인정보위는 ㈜디지털대성에 과징금 6억1300만 원과 과태료 330만 원을 부과하고, 사업자 홈페이지에 이러한 사실을 공표하도록 명령했다.

‘시대인재’ 학원과 연계해 온라인 교육 강좌 서비스를 운영하는 ㈜하이컨시의 경우 해커가 로그인에 필요한 모든 경우의 수를 대입하는 방법을 이용해 1만5143명의 이름, 휴대전화 번호 등 개인정보를 빼돌린 것으로 확인됐다. 해당 사업자는 침입탐지시스템 등을 운영하지 않은 것은 물론, 외부에서 시스템에 접속할 때 안전한 인증 수단을 적용하지 않은 것으로 드러났다.

또 유출을 인지한 후 24시간이 지난 후에 유출신고·통지를 완료하는 등 안전조치 의무 및 유출신고·통지 의무를 제대로 지키지 않은 것으로 밝혀졌다. 이들은 과징금 2억8000만 원과 과태료 1020만 원을 부과받았다.

현행 개인정보 보호법상 개인정보처리자는 불법적인 접근 및 침해사고를 방지하기 위해 침입차단 및 유출탐지시스템을 설치·운영하고, 취약점을 주기적으로 점검·조치해야 할 의무가 있다. 운영자가 외부에서 개인정보 처리시스템에 접속할 때는 안전한 인증 수단을 추가로 적용해야 한다.

개인정보위는 이들이 인터넷 강의 사업자로 주요 이용자가 입시를 준비하는 청소년이라 개인정보 취급에 각별한 주의를 기울일 필요가 있음에도 불구하고, 개인정보 보호법에 따른 안전조치와 개인정보 유출 통지 등의 의무를 위반해 과징금과 과태료 부과 처분을 내렸다고 밝혔다.

나아가 빠르게 디지털화되는 교육 현장에 대응하기 위해 인터넷 강의를 제공하는 대형 학원 또는 생체정보를 활용하는 교육·학습 분야 사업자를 대상으로 개인정보 관리실태를 점검하고, 취약 요인에 대한 개선방안을 마련해 올해 하반기에 발표할 계획이라고 설명했다.

구혁 기자