개인정보위, 개인정보보호법 위반 3개사 제재
안전조치 의무 위반..과징금 3700만원 등 부과
개인정보보호위원회는 8일 정부서울청사에서 제10회 전체회의를 열고 개인정보보호 법규를 위반한 위더스교육, 뉴지스탁, 창비 등 3개 사업자에 총 3700만원의 과징금, 2140만원의 과태료를 부과했다. 개인정보위 제공
[파이낸셜뉴스] 관리 소홀과 해킹으로 개인정보를 유출한 위더스교육, 뉴지스탁, 창비 등의 업체가 과징금·과태료 제재를 받았다.
8일 개인정보보호위원회는 제10회 전체회의를 열고 개인정보보호 법규를 위반한 3개 사업자에 총 3700만원의 과징금, 2140만원의 과태료를 부과했다.
이번 건은 해당 사업자들이 한국인터넷진흥원(KISA)에 개인정보 유출 사실을 신고하면서 조사가 이뤄졌다.
조사 결과 위더스교육, 뉴지스탁, 창비는 웹셸과 에스큐엘 주입 공격 등 해킹으로 인해 개인정보가 유출된 것으로 확인됐다.
온라인으로 원격평생교육원 서비스를 제공하는 위더스교육은 파일을 온라인에 올릴 때 보안 취약사항 점검을 제대로 하지 않았다. 웹셸에 의한 해킹 공격으로 수강생의 이름, 연락처 등 개인정보가 유출됐다.
또 침입탐지·차단 시스템을 소홀하게 운영했다. 탈퇴한 이용자 개인정보를 즉시 파기하지 않은 데다 1년 이상 장기 미이용자의 개인정보를 다른 이용자의 개인정보와 분리, 별도로 보관하지 않았다.
주식 데이터분석 서비스 제공업체인 뉴지스탁도 웹셸에 의한 해킹 공격으로 이용자 연락처 등 개인정보가 유출됐다. 홈페이지 자유게시판을 대상으로 보안관련 취약사항 등을 점검하지 않았다.
온라인 도서 사이트를 운영하는 창비는 에스큐엘 질의명령문(query)과 같은 홈페이지 입력값에 대한 검증을 소홀히 해 개인정보가 타인에게 노출됐다. 개인정보 취급자의 접속기록을 남기지 않는 등 개인정보의 기술·관리적 보호조치 의무를 다하지 않았다.
또 개인정보처리시스템을 운영하면서 안전한 인증수단을 적용하지 않았다.
1년 이상 장기 미이용자의 개인정보를 파기 또는 분리, 별도로 보관하지 않은 사실도 확인됐다.
양청삼 개인정보위 조사조정국장은 "해커 공격으로 인한 개인정보 유출 사고가 지속적으로 발생하고 있다. 사업자는 개인정보처리시스템에 대한 불법적인 접근이 없도록 보안 취약점 등을 상시 점검해야 한다"고 당부했다.
skjung@fnnews.com 정상균 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지