[아이뉴스24 박진영 기자] 개인정보보호위원회는 27일 제6회 전체회의를 열고, 개인정보보호 법규를 위반한 디지털대성과 하이컨시에 대해 총 8억 9300만 원의 과징금과 1350만 원의 과태료를 부과하기로 의결했다.
![고학수 개인정보보호위원회 위원장이 27일 오후 서울 종로구 정부서울청사에서 개최된 2024년 제6회 개인정보보호위원회 전체회의에서 모두말씀을 하고 있다. [사진=개인정보보호위원회]](https://image.inews24.com/v1/65a696aff425a7.jpg)
이들 2개 사업자는 인터넷 강의 사업자로, 입시를 준비하는 청소년이 주로 이용하고 있어 개인정보 유출에 각별한 주의를 기울일 필요가 있으나, 개인정보 보호법에 따른 안전조치와 개인정보 유출 통지 등의 의무를 위반해 과징금과 과태료 부과 처분 등을 받게 됐다.
디지털대성의 경우 해커의 '크리덴셜 스터핑' 공격과 누리집 내 게시판에 대한 '크로스사이트 스크립팅' 공격으로 회원 9만 5000여명의 개인정보가 유출됐다.
해당 사업자는 평소 공격을 당한 누리집에 침입탐지·차단시스템 등 보안 시스템을 설치‧운영하고 있었으나, 보안정책 관리 소홀로 단시간 동안 발생하는 과도한 로그인 시도를 제대로 탐지‧차단하지 못했다. 또 누리집 일부 페이지에 대한 취약점 점검을 누락해 게시판에 악성 스크립트가 삽입된 것으로 나타났다.
더욱이 유출 인지 후 72시간을 경과해 유출통지를 완료하는 등 '개인정보 보호법' 상 유출통지 의무를 제대로 지키지 않은 것으로 밝혀졌다.
하이컨시의 경우 해커의 웹 취약점 및 무차별 대입 공격으로 회원 1만 5143명의 성명, 휴대전화번호 등 개인정보가 유출됐다. 해당 사업자는 해킹 공격을 당한 누리집에 침입탐지시스템 등을 운영하지 않은 것은 물론, 관리자 페이지에 접속 시 안전한 인증 수단을 적용하지 않았다.
향후, 개인정보위는 인터넷 강의를 제공하는 대형 학원 또는 얼굴·지문인식 등 생체정보를 활용하는 교육·학습 분야 사업자를 대상으로 개인정보 관리실태를 점검하고, 취약 요인에 대한 개선방안을 마련할 계획이다.
/박진영 기자(sunlight@inews24.com)
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기