본문 바로가기 메인메뉴 바로가기

전자정부이 누리집은 대한민국 공식 전자정부 누리집입니다.

브리핑룸

콘텐츠 영역

개인정보위, 인터넷 강의 사업자 대상 안전조치 의무 위반 제재

2024.03.28 개인정보보호위원회
목록

개인정보위, 인터넷 강의 사업자 대상 안전조치 의무 위반 제재

- 주요 이용자가 청소년에 해당하여 개인정보 보호에 각별한 주의 당부

- 개인정보위, 교육·학습분야 개인정보 관리실태 집중 점검 계획



개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 3월 27일(수) 제6회 전체회의를 열고, 개인정보보호 법규를 위반한 ㈜디지털대성과 ㈜하이컨시에 대해 총 8억 9,300만 원의 과징금과 1,350만 원의 과태료를 부과하기로 의결하였다.


이들 2개 사업자는 인터넷 강의 사업자로, 입시를 준비하는 청소년이 주로 이용하고 있어 개인정보 유출에 각별한 주의를 기울일 필요가 있으나, 「개인정보 보호법」에 따른 안전조치와 개인정보 유출 통지 등의 의무를 위반하여 과징금과 과태료 부과 처분 등을 받게 되었다.


① ㈜디지털대성의 경우 해커의 ‘크리덴셜 스터핑*(Credential Stuffing)’ 공격과 누리집 내 게시판에 대한 ‘크로스사이트 스크립팅(XSS, Cross-Site Scripting)**’공격으로 회원 95,000여명의 개인정보가 유출되었다.


* 이미 확보한 아이디, 비밀번호를 다른 누리집에도 무작위로 대입하여 로그인 정보를 확인하는 공격 기법


** 입력값 검증 미흡으로 인해 공격자가 악성 스크립트를 삽입한 게시글 등을 등록하고, 이후 게시글을 읽은 이용자의 의도와 관계없이 악성 스크립트 실행을 유도하는 공격


해당 사업자는 평소 공격을 당한 누리집에 침입탐지·차단시스템 등 보안 시스템을 설치·운영하고 있었으나, 보안정책 관리 소홀로 단시간 동안 발생하는 과도한 로그인 시도를 제대로 탐지·차단하지 못하였고, 누리집 일부 페이지에 대한 취약점 점검을 누락하여 게시판에 악성 스크립트가 삽입되었다. 또, 유출인지 후 72시간을 경과하여 유출통지를 완료하는 등 「개인정보 보호법」 제29조의 안전조치 의무 및 제34조제1항의 유출통지 의무를 제대로 지키지 않은 것으로 밝혀졌다.


② ㈜하이컨시의 경우 해커의 웹 취약점 및 무차별 대입(Bruteforce) 공격*으로 회원 15,143명의 성명, 휴대전화번호 등 개인정보가 유출되었다. 해당 사업자는 해킹 공격을 당한 누리집에 침입탐지시스템 등을 운영하지 않은 것은 물론, 관리자 페이지에 접속 시 안전한 인증 수단을 적용하지 않았다. 또, 유출인지 후 24시간을 경과하여 유출신고·통지를 완료하는 등 「개인정보 보호법」 제29조의 안전조치 의무 및 제39조의4제1항의 유출신고·통지 의무를 제대로 지키지 않은 것으로 밝혀졌다.


* 시행착오식 공격 방법으로, 모든 가능한 문자의 조합을 시행하고 틀리면 다른 문자를 적용해보는 반복 시도가 이루어짐


개인정보처리자는 불법적인 접근 및 침해사고 방지를 위해 운영 중인 환경에 적합한 불법 침입 차단 및 유출 탐지 시스템을 설치·운영하며, 주기적으로 취약점을 점검·조치하여야 하며, 외부에서 개인정보처리시스템에 접속 시 안전한 인증 수단을 추가로 적용하여야 한다.


* 아이디와 비밀번호 이외에 안전한 인증 수단 (예시)


☞ 인증서(PKI, Public Key Infrastructure) : 전자상거래 등에서 상대방과의 신원확인, 거래 사실 증명, 문서의 위․변조 여부 검증 등을 위해 사용하는 전자서명으로서 해당 전자서명을 생성한 자의 신원을 확인하는 수단

☞ 보안토큰 : 암호 연산장치 등으로 내부에 저장된 정보가 외부로 복사, 재생성 되지 않도록 공인인증서 등을 안전하게 보호할 수 있는 수단으로 스마트카드, USB 토큰 등이 해당

☞ 일회용 비밀번호(OTP, One Time Password) : 무작위로 생성되는 난수를 일회용 비밀번호로 한번 생성하고, 그 값을 한 번만 사용할 수 있도록 하는 방식


한편, 개인정보위는 빠르게 디지털화되고 있는 교육 현장에 대응하기 위해 인터넷 강의를 제공하는 대형 학원 또는 얼굴·지문인식 등 생체정보를 활용하는 교육·학습 분야 사업자를 대상으로 개인정보 관리실태를 점검하고, 취약 요인에 대한 개선방안을 마련할 계획이다.



* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.


- 담당자 : 조사2과 장석인(02-2100-3157), 조사1과 김지수(02-2100-3117)

“이 자료는 개인정보보호위원회의 보도자료를 전재하여 제공함을 알려드립니다.”

이전다음기사

다음기사개인정보위, 주요 인공지능(AI) 서비스 사전 실태점검 결과 발표

히단 배너 영역

추천 뉴스

국민과 함께하는 민생토론회
정부정책 사실은 이렇습니다

많이 본, 최신, 오늘의 영상 , 오늘의 사진

정책브리핑 게시물 운영원칙에 따라 다음과 같은 게시물은 삭제 또는 계정이 차단 될 수 있습니다.

  • 1. 타인의 메일주소, 전화번호, 주민등록번호 등의 개인정보 또는 해당 정보를 게재하는 경우
  • 2. 확인되지 않은 내용으로 타인의 명예를 훼손시키는 경우
  • 3. 공공질서 및 미풍양속에 위반되는 내용을 유포하거나 링크시키는 경우
  • 4. 욕설 및 비속어의 사용 및 특정 인종, 성별, 지역 또는 특정한 정치적 견해를 비하하는 용어를 게시하는 경우
  • 5. 불법복제, 바이러스, 해킹 등을 조장하는 내용인 경우
  • 6. 영리를 목적으로 하는 광고 또는 특정 개인(단체)의 홍보성 글인 경우
  • 7. 타인의 저작물(기사, 사진 등 링크)을 무단으로 게시하여 저작권 침해에 해당하는 글
  • 8. 범죄와 관련있거나 범죄를 유도하는 행위 및 관련 내용을 게시한 경우
  • 9. 공인이나 특정이슈와 관련된 당사자 및 당사자의 주변인, 지인 등을 가장 또는 사칭하여 글을 게시하는 경우
  • 10. 해당 기사나 게시글의 내용과 관련없는 특정 의견, 주장, 정보 등을 게시하는 경우
  • 11. 동일한 제목, 내용의 글 또는 일부분만 변경해서 글을 반복 게재하는 경우
  • 12. 기타 관계법령에 위배된다고 판단되는 경우
  • 13. 수사기관 등의 공식적인 요청이 있는 경우