개인정보 유출된 교육기업 디지털대성 및 하이컨시, 과징금·과태료 약 9억 부과

인터넷 강의 사업자...주요 이용자가 청소년에 해당, 개인정보 보호에 각별한 주의 당부
개인정보위, 교육 및 학습분야 개인정보 관리실태 집중 점검 계획

[보안뉴스 김영명 기자] 개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 3월 27일 제6회 전체회의를 열고, 개인정보보호 법규를 위반한 ‘디지털대성’과 ‘하이컨시’에 대해 총 8억 9,300만원의 과징금과 1,350만원의 과태료를 부과하기로 의결했다.

[이미지=gettyimagesbank]

이들 2개사는 인터넷 강의 사업자로 입시를 준비하는 청소년이 주로 이용하고 있어 개인정보 유출에 각별한 주의를 기울일 필요가 있으나, 개인정보 보호법에 따른 안전조치와 개인정보 유출 통지 등의 의무를 위반해 과징금과 과태료 부과 처분 등을 받았다.

‘디지털대성’의 경우 해커의 크리덴셜 스터핑 공격과 홈페이지 내 게시판에 대한 크로스사이트 스크립팅 공격으로 회원 9만 5,000여명의 개인정보가 유출됐다. 디지털대상은 평소 공격을 당한 홈페이지에 침입탐지·차단시스템 등 보안 시스템을 설치하고 운영해 왔으나, 보안정책 관리 소홀로 단시간 동안 발생하는 과도한 로그인 시도를 제대로 탐지 또는 차단하지 못했다. 또한 홈페이지 일부 페이지에 대한 취약점 점검을 누락해 게시판에 악성 스크립트가 삽입됐다. 이 회사는 유출을 인지한지 72시간을 경과해 유출통지를 완료하는 등 개인정보 보호법 제29조의 안전조치 의무 및 제34조제1항의 유출통지 의무를 제대로 지키지 않은 것으로 밝혀졌다.

▲디지털대성 개인정보 유출 경위[자료=개인정보위]

‘하이컨시’의 경우 해커의 웹 취약점 및 무차별 대입 공격으로 회원 1만 5,143명의 성명, 휴대전화번호 등 개인정보가 유출됐다. 해당 사업자는 해킹 공격을 당한 홈페이지에 침입탐지시스템 등을 운영하지 않았으며, 관리자 페이지에 접속 시 안전한 인증 수단을 적용하지 않았다. 또한 유출인지 후 24시간을 경과해 유출신고 및 통지를 완료하는 등 개인정보 보호법 제29조의 안전조치 의무 및 제39조의4제1항의 유출신고·통지 의무를 제대로 지키지 않은 것으로 밝혀졌다.

▲하이컨시 개인정보 유출 경위[자료=개인정보위]

개인정보처리자는 불법적인 접근 및 침해사고 방지를 위해 운영 중인 환경에 적합한 불법 침입 차단 및 유출 탐지 시스템을 설치·운영하며, 주기적으로 취약점을 점검 및 조치해야 하며, 외부에서 개인정보처리시스템에 접속 시 안전한 인증 수단을 추가로 적용해야 한다.

개인정보위는 빠르게 디지털화되고 있는 교육 현장에 대응하기 위해 인터넷 강의를 제공하는 대형 학원 또는 얼굴·지문인식 등 생체정보를 활용하는 교육·학습 분야 사업자를 대상으로 개인정보 관리실태를 점검하고, 취약 요인에 대한 개선방안을 마련할 계획이다.
[김영명 기자(boan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)