디지털대성, 보안 시스템 운영 부실 및 유출통지 의무 어겨
시대인재, 보안 시스템 조차 운영 안 한 것으로 확인 돼
디지털대성과 유명 입시학원 시대인재의 온라인 강의 사이트에서 11만 명의 개인정보가 유출된 것으로 나타났다. 아울러 해당 인터넷 강의 사업자들은 개인정보 유출 사고를 인지한 즉시 관계 기관에 알렸다고 주장했으나, 조사 결과 이는 사실이 아닌 것으로 밝혀졌다.
개인정보보호위원회(이하 개인정보위)는 27일 전체회의를 열고, 개인정보보호 법규를 위반한 디지털대성과 하이컨시에 대해 총 8억9300만원의 과징금과 1350만원의 과태료를 부과하기로 의결했다. 디지털대성의 이러닝브랜드 ‘대성마이맥’과 하이컨시가 운영하는 입시학원 ‘시대인재’에서 개인정보 유출사고가 발생했기 때문이다.
디지털대성, 보안 시스템 운영 부실 및 유출통지 의무 어겨
-
동행복권, 해킹 하루만에 홈페이지 재개... \"개인정보 유출 규모 파악 단계, 로그인 방식은 유지\"
- 지그재그, 개인정보 유출 알고도 '9시간' 조치 안 해... 로그인도 지그재그로?
- '500만 회원' 전자세금계산서 기업 스마트빌', 해킹으로 인한 개인정보 유출 사고 발생... "통지 의무 위반 없었다"
- 한국사회복지협의회, 해킹으로 135만 명 개인정보 유출 의혹... "홈페이지 보안 취약점 있었다"
- 대성마이맥, 해킹으로 9만5000명 개인정보 유출... 디지털대성 "2차 피해 제한적"
- 중고폰 거래 중개 서비스 나선 크림, '네이버쇼핑'에서 구매될까... "입점 계획 없다"
디지털대성은 해커의 ‘크리덴셜 스터핑’ 공격과 누리집 내 게시판에 대한 ‘크로스사이트 스크립팅’ 공격으로 회원 9만5000명의 개인정보가 유출된 것으로 나타났다. 개인정보위에 따르면 디지털대성은 침입 탐지·차단 시스템 등 보안 시스템을 운영하고 있었음에도 보안정책 관리 소홀로 크리덴셜 스터핑 공격을 탐지·차단하지 못했으며, 누리집 일부 페이지에 대한 취약점 점검을 누락해 게시판에 악성 스크립트가 삽입됐다.
이번 해킹 공격을 통해 유출된 개인정보 항목은 ▲아이디 ▲마스킹 된 이름 ▲마스킹 된 이메일 ▲마스킹 된 휴대전화번호 등 4개 항목으로, 아이디를 제외한 유출 항목의 개인 식별은 어려운 것으로 나타났다. 대성마이맥의 개인정보처리방침에 따르면 홈페이지 이용이나 유료서비스 이용 여부에 따라 금융정보 등을 추가로 수집하고 있으나, 개인정보위 관계자에 따르면 추가로 유출된 개인정보는 확인되지 않았다.
다만 개인정보위의 조사 결과는 앞서 디지털대성이 설명한 자료와 다소 차이가 있었다. 당시 디지털대성은 “매년 정보보호관리체계(ISMS) 인증 획득 및 갱신 등의 노력으로 회원들의 개인정보 보호를 위해 노력했으나, 이번 개인정보 유출 사고로 심려를 끼치게 돼 진심으로 사과드린다”라며 “침해 사실을 인지한 직후 KISA 및 관련 수사기관에 신고했으며, 해킹 의심 IP와 침투 경로를 모두 차단하고 취약점 점검 및 보완 조치를 진행해, 재발 방지를 위한 대응을 강화하고 있다”라고 밝혔다.
하지만 조사 결과 디지털대성은 보안정책 관리를 소홀히 해 단시간 동안 발생하는 과도한 로그인 시도를 제대로 탐지·차단하지 못했으며, 일부 게시판에 대한 취약점 점검을 누락했던 것으로 나타났다. 이와 더불어 디지털대성이 공지한 유출통지 시점도 사실과 달랐다. 개인정보보호법에 따르면 개인정보처리자는 개인정보 유출 사고를 인지한 시점부터 72시간 이내 유출 사실을 소관 부처에 통지하도록 규정하고 있다. 하지만 개인정보위에 따르면 디지털대성은 유출통지 의무를 제대로 지키지 않은 것으로 확인됐다.
시대인재, 보안 시스템 조차 운영 안 한 것으로 확인 돼
대치동에 위치한 입시학원 시대인재를 운영하는 하이컨시는 해커의 웹 취약점 및 무차별 대입 공격으로 회원 1만5143명의 성명·휴대전화번호 등 개인정보가 유출됐다. 하이컨시는 해킹 공격을 당한 누리집에 침입탐지시스템 등을 운영하지 않았으며, 관리자 페이지에 접속 시 안전한 인증 수단을 적용하지 않았다.
앞서 시대인재는 복습 영상 사이트 ‘리클래스’에서 해킹으로 인한 개인정보 유출 사고가 발생했다고 밝혔다. 해킹 공격으로 인해 유출된 개인정보는 ▲ID 정보 ▲전화번호 두 가지 항목으로, 주민등록번호나 금융정보는 수집 및 저장하지 않고 있기에 유출 가능성은 없는 것으로 확인됐다.
당시 시대인재 측은 “7월25일 해킹사고를 인지한 시점 이후부터 강제 로그인은 모두 차단했으며, 외부 공격 IP를 실시간으로 차단하고 있다”라며 “정보보안 전문가 및 관계 기관과 함께 보안 강화 조치 및 재발 방지 대응을 즉각 실시했다”라고 밝혔다. 하지만 개인정보위에 따르면 시대인재는 유출 사실을 인지한 후 24시간을 경과해 유출신고·통지를 완료하는 등, 안전조치 의무를 지키지 않은 것으로 확인됐다.
한편 시대인재의 경우 홈페이지 보안 관리 부실로 인한 추가 피해 가능성도 제기돼 왔다. 시대인재의 복습 영상 사이트 리클래스는 계정 아이디와 비밀번호를 학생 이름과 전화번호 조합으로 생성하기에, 유출된 정보를 통한 추가 피해 가능성이 있기 때문이다. 시대인재는 리클래스에서 휴대전화 인증을 통한 보안 로그인 방식을 지원하고 있으나, 앞서 입시 커뮤니티 등에서는 취약점 등을 활용한 ‘휴대전화 인증 없이 로그인하는 방법’ 등이 공유되기도 했다.
- 동행복권, 해킹 하루만에 홈페이지 재개... "개인정보 유출 규모 파악 단계, 로그인 방식은 유지"
- 지그재그, 개인정보 유출 알고도 '9시간' 조치 안 해... 로그인도 지그재그로?
- '500만 회원' 전자세금계산서 기업 스마트빌', 해킹으로 인한 개인정보 유출 사고 발생... "통지 의무 위반 없었다"
- 한국사회복지협의회, 해킹으로 135만 명 개인정보 유출 의혹... "홈페이지 보안 취약점 있었다"
- 대성마이맥, 해킹으로 9만5000명 개인정보 유출... 디지털대성 "2차 피해 제한적"
- 중고폰 거래 중개 서비스 나선 크림, '네이버쇼핑'에서 구매될까... "입점 계획 없다"
- 개인정보 유출 발생한 대성마이맥, 개인정보 수집 항목엔 민감 개인정보·금융정보 포함
- 개인정보위, '개인정보 유출' 한국고용정보원·한국장학재단에 과태료... "주민등록번호도 암호화 없이 보관"
- 한국거래소, 설문조사 참여자 개인정보 유출... 관리 부실로 민감 개인정보 노출돼
- 국정원, 국가·정부서비스 이용자 1만3000명 개인정보 다크웹 유출... "행정전산망 마비사태 연관 없어"
- 인천교육청, 해킹 사실 인지하고도 한 달 넘게 신고 안 해... 11만명 개인정보 유출 우려
- 골프존, 올해 신제품 업그레이드·해외 사업 성과로 실적 개선 전망... 랜섬웨어 보상금·과징금 변수될까
- '5300만명 개인정보 유출' KB국민카드, 신용평가사 손배소서 최종 승소...'624억원' 배상
- '정책연구 통한 미래 콘텐츠 방향 모색’ ... 콘진원, 정책연구 성과확산 '세미나' 개최
- 컴투스, '스타시드' 출시 하루만에 구글 인기순위 1위...흥행 조짐