개인정보보호위원회는 디지털대성과 하이컨시 등 인터넷 강의 사업자 2곳에 총 8억9300만원의 과징금과 1350만원의 과태료를 부과하기로 의결했다고 28일 밝혔다.
이날 개인정보위는 전날 제6회 전체회의를 열고 이같이 의결했다고 전했다. 디지털대성은 해커의 '크리덴셜 스터핑' 공격과 홈페이지 내 게시판에 대한 '크로스사이트 스크립팅' 공격을 받아 회원 9만5000여명의 개인정보가 유출됐다. 크리덴셜 스터핑은 타 사이트에서 수집한 사용자 계정정보를 무작위로 대입해 로그인을 시도하는 해킹 공격이다. 공격자가 악성 스크립트를 삽입한 게시글을 올리고, 이것을 읽은 이용자의 의도와 관계없이 악성 스크립트 실행을 유도한다.
디지털대성은 평소 공격을 당한 홈페이지에 침입탐지·차단시스템 등 보안 시스템을 설치‧운영하고 있었으나, 보안정책 관리 소홀로 단시간 발생하는 과도한 로그인 시도를 제대로 탐지‧차단하지 못한 것으로 파악됐다. 유출을 인지한 후 72시간이 넘어서야 이러한 사실을 이용자에게 알리는 등 유출통지 의무를 제대로 지키지 않았다. 개인정보위는 디지털대성에 과징금 6억1300만원과 과태료 330만원을 부과했다.
하이컨시는 해커의 웹 취약점 및 무차별 대입 공격으로 회원 1만5143명의 이름과 휴대전화번호 등 개인정보가 유출됐다. 하이컨시는 해킹 공격을 당한 홈페이지에 침입탐지시스템 등을 운영하지 않았고, 관리자 페이지에 접속 시 안전한 인증 수단을 적용하지 않은 것으로 파악됐다. 또 유출을 인지한 후 24시간을 넘긴 뒤에 유출신고·통지를 완료해, 안전조치 의무 및 유출신고·통지 의무를 지키지 않았던 것으로 조사됐다. 개인정보위는 하이컨시에 과징금 2억8000만원과 과태료 1020만원을 부과했다.
개인정보위는 인터넷 강의를 제공하는 대형 학원이나 얼굴·지문인식 등 생체정보를 활용하는 교육·학습 분야 사업자를 대상으로 개인정보 관리실태를 점검하고, 취약 요인에 대한 개선방안을 마련할 계획이다.