이들 2개 사업자는 인터넷 강의 사업을 하는데, 주로 입시를 준비하는 청소년들이 이용하고 있어 개인정보 유출에 특히 주의해야 했지만, '개인정보 보호법'을 위반하여 과징금과 과태료를 부과받았다. 디지털대성은 해커의 '크리덴셜 스터핑' 공격과 '크로스사이트 스크립팅' 공격으로 회원 9만5000여명의 개인정보가 유출되었다. 크리덴셜 스터핑은 이미 확보한 아이디와 비밀번호를 다른 사이트에 무작위로 대입하여 로그인 정보를 확인하는 공격 기법이며, 크로스사이트 스크립팅은 악성 스크립트를 삽입한 게시글을 통해 이용자를 공격하는 방법이다. 해당 사업자는 보안 시스템을 운영하고 있었지만, 보안정책 관리 소홀로 인해 공격을 막지 못했고, 취약점 점검을 소홀히 해 악성 스크립트가 삽입되었다. 또한, 개인정보 유출 후 72시간 내에 통지를 완료하는 등 '개인정보 보호법'의 안전조치 의무를 제대로 이행하지 못했다. 하이컨시는 해커의 웹 취약점 및 무차별 대입 공격으로 회원 1만5143명의 개인정보가 유출되었다. 무차별 대입 공격은 모든 가능한 문자의 조합을 시도하는 방식으로, 해당 사업자는 침입탐지시스템을 운영하지 않았고, 안전한 인증 수단을 적용하지 않았다. 또한, 개인정보 유출 후 24시간 내에 통지를 완료하는 등 '개인정보 보호법'의 안전조치 의무를 제대로 이행하지 못했다. 개인정보처리자는 불법 침입 차단 및 유출 탐지 시스템을 설치하고 운영해야 하며, 취약점을 주기적으로 점검하고 조치해야 한다. 또한, 외부에서 접속 시 안전한 인증 수단을 추가로 적용해야 한다. 개인정보위 관계자는 교육 분야 사업자들을 대상으로 개인정보 관리실태를 점검하고 개선방안을 모색할 계획이라고 밝혔다.

• 페이스북 공유
• 트위터 공유

• 

추천해요 0