정보보안/사건사고
디지털대성 및 하이컨시 과징금 및 과태료 9억
나의친구
2024. 12. 23. 17:03
㈜디지털대성 : ‘대성마이맥’ 온라인 강의 서비스 운영, 현 보호법(‘23.9.15. 시행)으로정률 과징금(전체 매출액의 3%이내) 부과
㈜하이컨시 : 시대인재 학원과 연계한 ‘리클래스’ 온라인 교육 강좌 서비스 운영, 구 보호법(’20.8.5. 시행)으로 정액 과징금(관련 매출액이 없는 경우 최대3억6천만원 이내) 부과
처벌 사유
디지털 대성
- 해커의 ‘크리덴셜 스터핑*(Credential Stuffing)’ 공격과 누리집 내 게시판에 대한 ‘크로스사이트 스크립팅(XSS, Cross-Site Scripting)** ’공격으로 회원 95,000여명의 개인정보가 유출
- 크리덴셜 스터핑 : 이미 확보한 아이디, 비밀번호를 다른 누리집에도 무작위로 대입하여 로그인 정보를확인하는 공격 기법
- 보안정책 관리 소홀로 단시간 동안 발생하는과도한 로그인 시도를 제대로 탐지‧차단 미흡
- 취약점 점검을 누락하여 게시판에 악성 스크립트가 삽입
- 「개인정보 보호법」에 따른 안전조치와 개인정보 유출 통지 등의 의무를 위반
하이컨시
- 해커의 웹 취약점 및 무차별 대입(Bruteforce) 공격* 으로 회원 15,143명의 성명, 휴대전화번호 등 개인정보가 유출
- 해킹 공격을 당한 누리집에 침입탐지시스템 등을 운영하지 않은 것은 물론, 관리자 페이지에 접속 시 안전한 인증 수단 미적용
- 유출인지 후 24시간을 경과하여 유출신고·통지를 완료하는 등 「개인정보 보호법」 제29조의 안전조치 의무 및 제39조의4제1항의 유출신고· 통지 의무를 위반