개인정보보호위원회, 인터넷 강의 사업자 대상 안전조치 의무 위반 제재
기사입력 2024.03.28 13:03
-
이들 2개 사업자는 인터넷 강의 사업자로, 입시를 준비하는 청소년이 주로 이용하고 있어 개인정보 유출에 각별한 주의를 기울일 필요가 있으나, 「개인정보 보호법」에 따른 안전조치와 개인정보 유출 통지 등의 의무를 위반하여 과징금과 과태료 부과 처분 등을 받게 됐다.
① ㈜디지털대성의 경우 해커의 ‘크리덴셜 스터핑(Credential Stuffing)’ 공격과 누리집 내 게시판에 대한 ‘크로스사이트 스크립팅(XSS, Cross-Site Scripting)’공격으로 회원 95,000여명의 개인정보가 유출됐다.
해당 사업자는 평소 공격을 당한 누리집에 침입탐지·차단시스템 등 보안 시스템을 설치·운영하고 있었으나, 보안정책 관리 소홀로 단시간 동안 발생하는 과도한 로그인 시도를 제대로 탐지·차단하지 못했고, 누리집 일부 페이지에 대한 취약점 점검을 누락하여 게시판에 악성 스크립트가 삽입됐다. 또, 유출인지 후 72시간을 경과하여 유출통지를 완료하는 등 「개인정보 보호법」 제29조의 안전조치 의무 및 제34조제1항의 유출통지 의무를 제대로 지키지 않은 것으로 밝혀졌다.
② ㈜하이컨시의 경우 해커의 웹 취약점 및 무차별 대입(Bruteforce) 공격으로 회원 15,143명의 성명, 휴대전화번호 등 개인정보가 유출됐다. 해당 사업자는 해킹 공격을 당한 누리집에 침입탐지시스템 등을 운영하지 않은 것은 물론, 관리자 페이지에 접속 시 안전한 인증 수단을 적용하지 않았다. 또, 유출인지 후 24시간을 경과하여 유출신고·통지를 완료하는 등 「개인정보 보호법」 제29조의 안전조치 의무 및 제39조의4제1항의 유출신고·통지 의무를 제대로 지키지 않은 것으로 밝혀졌다.
개인정보처리자는 불법적인 접근 및 침해사고 방지를 위해 운영 중인 환경에 적합한 불법 침입 차단 및 유출 탐지 시스템을 설치·운영하며, 주기적으로 취약점을 점검·조치하여야 하며, 외부에서 개인정보처리시스템에 접속 시 안전한 인증 수단을 추가로 적용하여야 한다.
한편, 개인정보위는 빠르게 디지털화되고 있는 교육 현장에 대응하기 위해 인터넷 강의를 제공하는 대형 학원 또는 얼굴·지문인식 등 생체정보를 활용하는 교육·학습 분야 사업자를 대상으로 개인정보 관리실태를 점검하고, 취약 요인에 대한 개선방안을 마련할 계획이다.
<저작권자ⓒ인터폴뉴스 무단전재-재배포금지>
BEST 뉴스
- ·국제 면허증을 대신할 영문병기 운전면허증 발급 추진 계획
- ·2019년 상반기 사이버도박 특별단속 결과
- ·고등학교 무상교육 실현방안 발표
- ·명품 가방 짝퉁 무더기 적발
- ·미•일 한반도 분단 고착화에 집착
- ·삼성화재, 대법원 판결 알고도 외면한체 보험금 부지급 안내 통보에 계약자...
- ·배우 전미선 사망, 자살한 것으로 추정돼
- ·문해교육은 평생학습의 출발점
- ·소상공인기본법 제정을 위한 정책 토론회 개최
- ·미스터 트롯이 온다. "미스터 트롯 제작 확정"
- ·경찰청에서 가정폭력 제도·정책 개선 권고문 발표
- ·2019년 3-4분기 고등학교 무상교육 실시
- ·2019년도 온라인(로또)복권 판매점 모집 신규 공고
- ·염희선 귀국 피아노 독주회
- ·이천시승격 25주년, 엄태준 이천시장에게 듣는다.
- ·용인시, 희망일자리 구직자 모집 7월31일까지 연장 접수
- ·통일부 "5만t의 쌀 북한에 지원할 예정"
- ·서울시교육청, 교육활동 침해 '무관용의 원칙' 적용
- ·대중교통 이용자 확대를 위해 비대면 적외선 체온계 설치 지원 필요