대성학원·시대인재 해킹…수험생 11만명 정보 유출

알고도 72시간 지나 신고
과징금·과태료 9억 부과

유명 입시학원 대성학원과 시대인재의 온라인 강의 사이트에서 수험생 11만명의 개인정보가 유출된 것으로 확인됐다.

개인정보위원회는 27일 전체회의를 열고 개인정보보호 법규를 위반한 ㈜디지털대성과 ㈜하이컨시에 대해 총 8억9300만원의 과징금과 1350만원의 과태료를 부과하기로 의결했다고 밝혔다. 디지털대성은 온라인 강의 서비스 ‘대성마이맥’을, 하이컨시는 대치동 유명 입시학원 시대인재의 온라인 교육 강좌 ‘리클래스’를 운영하고 있다.

두 회사 모두 해커들의 공격으로 수강생의 개인정보가 유출됐으며, 사고 발생 후 대응도 미흡했다. 디지털대성은 지난 1월12~16일 사이 공격이 벌어졌다. 해커는 1차로 이미 확보한 아이디, 비밀번호를 다른 홈페이지에 무작위로 대입해 로그인을 시도하는 ‘크리덴셜 스터핑’ 공격을 통해 회원 A의 계정을 탈취했다. 이어 회원 A의 계정으로 불법이용 신고 게시판에 악성 스크립트를 삽입한 게시글을 올렸고, 이 글을 직원이 열람하면서 악성 스크립트가 실행되는 ‘크로스사이트 스크립팅(XSS)’ 공격이 벌어져 내부 보안 정보가 빠져나갔다.

이러한 공격으로 디지털대성 회원 9만5000여명의 개인정보가 유출됐다. 이 회사는 보안시스템을 갖추고 있었지만, 갑작스레 로그인 시도가 늘었는데도 탐지하지 못했다. 또한 유출 사실을 알고도 72시간이 지나서야 유출 사실을 알렸다.

지난해 7월 해킹 사실이 알려졌던 하이컨시는 해커의 웹 취약점 및 무차별 대응 공격으로 시대인재의 복습영상 사이트 ‘리클래스’ 회원 1만5143명의 이름과 휴대전화 번호가 유출됐다. 개인정보위는 하이컨시에 과징금 2억8000만원과 과태료 1020만원을 부과했다.

배문규 기자 sobbell@kyunghyang.com