개인정보보호 안전보치 의무 위반 2개 사업자 과징금·과태료 약 9억 부과

https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=10026

㈜디지털대성 : ‘대성마이맥’ 온라인 강의 서비스 운영, 현 보호법(‘23.9.15. 시행)으로정률 과징금(전체 매출액의 3%이내) 부과

㈜하이컨시 : 시대인재 학원과 연계한 ‘리클래스’ 온라인 교육 강좌 서비스 운영, 구 보호법(’20.8.5. 시행)으로 정액 과징금(관련 매출액이 없는 경우 최대3억6천만원 이내) 부과

 

처벌 사유

디지털 대성

• 해커의 ‘크리덴셜 스터핑*(Credential Stuffing)’ 공격과 누리집 내 게시판에 대한 ‘크로스사이트 스크립팅(XSS, Cross-Site Scripting)** ’공격으로 회원 95,000여명의 개인정보가 유출
• 크리덴셜 스터핑 : 이미 확보한 아이디, 비밀번호를 다른 누리집에도 무작위로 대입하여 로그인 정보를확인하는 공격 기법
• 보안정책 관리 소홀로 단시간 동안 발생하는과도한 로그인 시도를 제대로 탐지‧차단 미흡
• 취약점 점검을 누락하여 게시판에 악성 스크립트가 삽입
• ｢개인정보 보호법｣에 따른 안전조치와 개인정보 유출 통지 등의 의무를 위반

 

하이컨시

• 해커의 웹 취약점 및 무차별 대입(Bruteforce) 공격* 으로 회원 15,143명의 성명, 휴대전화번호 등 개인정보가 유출
• 해킹 공격을 당한 누리집에 침입탐지시스템 등을 운영하지 않은 것은 물론, 관리자 페이지에 접속 시 안전한 인증 수단 미적용
• 유출인지 후 24시간을 경과하여 유출신고·통지를 완료하는 등 ｢개인정보 보호법｣ 제29조의 안전조치 의무 및 제39조의4제1항의 유출신고· 통지 의무를 위반