디지털대성 등 개인정보 유출로 '억대' 과징금 처분…얼마나?

고학수 개인정보보호위원장이 27일 서울 종로구 정부서울청사에서 열린 2024년 제6회 개인정보보호위원회 전체회의에서 의사봉을 두드리고 있다.2024.03.27./사진제공=개인정보보호위원회

개인정보 유출사고로 부실한 정보관리 실태가 드러난 교육업체 대성마이맥(디지털대성 )과 시대인재(하이컨시)가 억대 과징금 처분을 받았다.

개인정보보호위원회는 지난 27일 열린 제6회 전체회의에서 대성마이맥에 대해 과징금 6억1300만원과 과태료 330만원을 부과하기로 의결했다고 28일 밝혔다. 시대인재에 대해선 과징금 2억8000만원과 과태료 1020만원을 부과하기로 의결했다.

대성마이맥에선 지난 1월 웹사이트 회원 9만5000여명의 개인정보가 해킹으로 유출됐다. 해커는 다른 곳에서 입수한 아이디와 비밀번호를 로그인창에 입력하는 '크리덴셜 스터핑' 공격으로 일부 학생 계정을 탈취한 데 이어 웹사이트의 XSS(크로스사이트 스크립팅) 취약점을 이용, 악성코드로 직원 계정을 빼앗아 정보를 빼돌린 것으로 조사됐다.

개인정보위는 대성마이맥 웹사이트에 보안 시스템이 설치돼 있었지만, 설정(보안정책) 관리 소홀로 과도한 로그인 시도가 제대로 탐지·차단되지 못했다고 밝혔다. 또 대성마이맥이 웹사이트 일부 페이지에 대한 XSS 취약점 점검을 누락했다고 지적했다.

시대인재에선 지난해 7월 강의영상 서비스 '리클래스' 회원 1만5143명의 개인정보가 해킹으로 유출됐다. 해커는 웹사이트 취약점과 로그인창에 문자를 연속으로 입력하는 '무차별 대입(Brute Force)' 공격으로 회원의 성명·전화번호 등을 탈취했다. 시대인재는 법령상 의무사항인 침입 탐지·차단 시스템을 운영하지 않았고, 외부경로로 관리자 페이지 접속을 허용하면서도 적법한 추가인증 절차를 적용하지 않은 것으로 조사됐다.

개인정보위는 두 업체 모두에 대해 '안전조치 의무위반'을 이유로 과징금을 부과하고, 유출사고를 이용자와 유관기관에 제때 알릴 의무를 이행하지 않거나 일부 누락했다며 과태료 처분도 각각 추가했다.

개인정보보호법은 지난해 9월 '전체 매출액'에서 최대 3%를 과징금으로 부과할 수 있도록 개정됐다. 개인정보위는 개정 이후 사건이 발생한 대성마이맥에 대해 이 기준을 적용하고, 대성마이맥이 사건 이전에 ISMS(정보보호인증)을 취득한 점과 개인정보 일부가 마스킹(가림) 처리돼 있던 점 등을 고려해 과징금을 일부 감경했다.


개인정보위는 "인터넷 강의를 제공하는 대형학원이나 얼굴·지문인식 등 생체정보를 활용하는 교육·학습 사업자를 대상으로 개인정보 관리실태를 점검하고 취약점 개선방안을 마련할 계획"이라고 밝혔다.