2024.05.20 (월)
[CIOCISO매거진 김은경 기자] 개인정보보호위원회는 8일 전체회의를 열고 개인정보보호 법규를 위반한 3개 사업자에 과징금 3700만원과 과태료 2140만원을 부과키로 했다.
해당 업체들은 온라인 원격평생교육원 서비스 제공업체 위더스교육, 주식 데이터분석 서비스 제공업체 뉴지스탁, 온라인 도서사이트 운영업체 창비다.
개인정보위는 이들 업체가 개인정보 보호조치 의무를 다하지 않아 이용자들의 정보 유출을 막지 못했다며 이런 제재 처분을 내렸다.
위더스교육은 파일을 온라인에 올릴 때 보안 취약사항을 제대로 점검하지 않아 웹서버를 조종할 수 있는 악성 프로그램인 '웹셸'에서 해킹 공격을 받았다. 그 결과 수강생 이름, 연락처 등 개인정보가 유출됐다.
침입탐지 및 차단 시스템을 소홀히 운영했고, 탈퇴한 이용자 개인정보를 즉시 파기하지 않았다. 또 1년 이상 장기 미이용자의 개인정보를 다른 이용자의 개인정보와 분리해 별도로 보관하지 않았다.
뉴지스탁은 사이트의 자유게시판을 대상으로 보안관련 취약사항을 점검하지 않아 웹셸 해킹 공격으로 이용자 연락처 등이 유출됐다.
창비는 사이트 입력값 검증을 소홀히 해 악의적인 명령어를 주입하는 방식으로 웹 서버를 공격하는 '에스큐엘'(SQL) 주입공격을 받아 개인정보를 타인에게 드러냈다.
개인정보 취급자의 접속기록을 남기지 않는 개인정보 보호조치도 다하지 않았다. 또 개인정보 처리시스템을 운영하면서 안전한 인증수단을 적용하지 않았고, 1년 이상 장기 미이용자의 개인정보를 파기하거나 별도로 보관하지 않은 사실도 확인됐다.
양청삼 조사조정국장은 "해커 공격으로 인한 개인정보 유출 사고가 이어지고 있다"며 "사업자는 보안 취약점을 주기적으로 확인해 개인정보처리시스템에 대한 불법적인 접근이 발생하지 않도록 하고, 안전조치 의무를 준수하고 있는지 상시 점검해야 한다"고 말했다.