개인정보위, 개인정보 유출한 인터넷 강의 사업자에 8억9800만 과징금
전체 맥락을 이해하기 위해서는 본문 보기를 권장합니다.
개인정보보호위원회가 개인정보보호 법규를 위반한 디지털대성과 하이컨시에 총 8억9300만원의 과징금, 1350만원의 과태료를 부과하기로 의결햇다.
디지털대성은 '크리덴셜 스터핑' 공격과 홈페이지 내 게시판에 대한 '크로스사이트 스크립팅' 공격으로 회원 9만5000명의 개인정보를 유출했다.
유출 인지 후 72시간이 경과해 유출통지를 완료해야 하는 개인정보 보호법 제29조의 안전조치 의무와 제34조 제1항의 유출통지 의무도 제대로 지키지 않았다.
이 글자크기로 변경됩니다.
(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.
하이컨시, 1만5143명 이름·전화번호 유출
개인정보보호위원회가 개인정보보호 법규를 위반한 디지털대성과 하이컨시에 총 8억9300만원의 과징금, 1350만원의 과태료를 부과하기로 의결햇다.
디지털대성과 하이컨시는 인터넷 강의 사업자로 청소년들이 주로 이용하고 있다. 이들은 개인정보 보호법에 따른 안전조치와 개인정보 유출 통지 등 의무를 위반했다.
디지털대성은 '크리덴셜 스터핑' 공격과 홈페이지 내 게시판에 대한 '크로스사이트 스크립팅' 공격으로 회원 9만5000명의 개인정보를 유출했다. 크리덴셜 스터핑은 해커가 이미 확보한 아이디와 비밀번호를 무작위로 대입해 로그인 정보를 탈취하는 방식이다. 크로스사이트 스크립팅은 악성 스크립트를 삽입한 게시글을 등록, 게시글을 읽은 이용자에게 실행을 유도하는 공격법이다.
디지털대성은 침입탐지·차단시스템 등 보안 시스템을 설치?운영하고 있었으나 보안정책 관리 소홀로 단시간 동안 발생한 과도한 로그인 시도를 제대로 탐지·차단하지 못했다 누리집 일부 페이지에 대한 취약점 점검을 누락해 게시판에 악성 스크립트가 삽입됐다. 유출 인지 후 72시간이 경과해 유출통지를 완료해야 하는 개인정보 보호법 제29조의 안전조치 의무와 제34조 제1항의 유출통지 의무도 제대로 지키지 않았다.
하이컨시는 회원 1만5143명의 이름과 휴대전화번호 등을 유출했다. 해킹 공격을 당한 누리집에 침입탐지시스템 등을 운영하지 않은 것은 물론, 관리자 페이지에 접속 시 안전한 인증 수단을 적용하지 않았다. 이 사업자도 안전조치 의무와 유출통지 의무를 이행하지 않았다.
개인정보위는 빠르게 디지털화되고 있는 교육 현장에 대응하기 위해 인터넷 강의를 제공하는 대형 학원 또는 얼굴·지문인식 등 생체정보를 활용하는 교육·학습 분야 사업자를 대상으로 개인정보 관리실태를 점검하고, 취약 요인에 대한 개선방안을 마련할 계획이다.김영욱기자 wook95@dt.co.kr
Copyright © 디지털타임스. 무단전재 및 재배포 금지.
- 배현진, `피습 난리뽕짝` 이재명 직격 "`헬기 난리뽕짝` 어디서 췄는지..."
- ‘친명’ 제보자X 폭탄발언 “‘양산책방 문재인씨’, 이번 총선서 숟가락 빼는 게…”
- "날 신고해?"…전 여친 직장서 멍키스패너로 내려친 30대
- `강제 키스` 파문…前스페인 축구협회장에 징역 2년 6개월 구형
- 끌려갔던 여성 변호사 "구금기간 성폭력·고문당해"…하마스 만행 증언
- 대학 진학 포기 늘었지만… 사교육비는 月 44만원 `역대 최대`
- 한화솔루션 배양육 사업 의지 `활활`
- 내 코인 잘 있을까… 코인마켓 `고사위기`
- 385% 폭등…엔비디아보다 핫한 AI수혜주
- 희소성의 힘… 다시 중대형이 뜬다