개인정보위, 개인정보보호법 위반 3개 사업자 제재
등록 2022.06.08 14:10:26
과징금 3700만원·과태료 2140만원 부과 처분
탈퇴 회원정보 방치 등 개인정보 보호 의무 미준수 확인
![[사진=개인정보보호위원회] *재판매 및 DB 금지](https://image.newsis.com/2022/05/29/NISI20220529_0001008677_web.jpg?rnd=20220529085431)
[사진=개인정보보호위원회] *재판매 및 DB 금지
【서울=뉴시스】송종호 기자 = 보안 취약사항을 제대로 살피지 않아 개인정보가 외부에 유출된 기업에 과징금 등 제제가 가해졌다.
개인정보보호위원회는 8일 제10차 전체회의를 열고 개인정보보호법을 위반한 3개 사업자에 과징금 총 3700만원과 과태료 총 2140만원 부과 처분을 의결했다.
처분대상은 위더스교육, 뉴지스탁, 창비 등이다. 이번 조사는 해당 사업자들이 한국인터넷진흥원(KISA)에 개인정보 유출 사실을 신고함에 따라 진행됐다.
개인정보위에 따르면 위더스교육은 파일을 온라인에 올릴 때 보안 취약사항 점검을 제대로 하지 않았다. 위더스교육은 원격평생교육원 서비스를 제공하는 기업이다. 이 기업은 웹셸에 의한 해킹 공격으로 수강생의 이름, 연락처 등 개인정보가 유출됐다. 웹셀은 시스템에 명령을 내릴 수 있는 코드로, 이를 통해 해커들은 보안 시스템을 피해 별도 인증 없이 시스템에 접속 가능하다. 웹셉을 이용하면 원격으로 해당 웹서버를 조종할 수 있다.
또 위더스교육은 침입탐지·차단 시스템을 소홀하게 운영했다. 탈퇴한 이용자 개인정보를 즉시 파기하지 않았다. 게다가 1년 이상 장기 미이용자 개인정보를 다른 이용자 개인정보와 분리해 보관하지 않았다.
주식 데이터분석 서비스 제공업체인 뉴지스탁 역시 홈페이지 자유게시판을 대상으로 보안 관련 취약사항을 점검하지 않았다. 이 업체도 웹셸에 의한 해킹 공격으로 이용자 연락처 등 개인정보가 유출됐다.
온라인 도서 사이트를 운영하는 창비는 홈페이지 입력값에 대한 검증을 소홀히 해 개인정보가 노출됐다. 개인정보 취급자의 접속기록을 남기지 않는 등 개인정보의 기술적·관리적 보호조치 의무도 부실했던 것으로 확인됐다.
또 개인정보처리시스템을 운영하면서 안전한 인증수단을 적용하지 않았다. 1년 이상 장기 미이용자 개인정보를 파기 또는 분리하는 조치도 이뤄지지 않았다.
양청삼 개인정보위 조사조정국장은 “비대면 활동의 비약적인 증가와 맞물려 해커의 공격으로 인한 개인정보 유출 사고가 지속적으로 발생하고 있다”라며 “사업자는 보안 취약점을 주기적으로 확인해 개인정보처리시스템에 대한 불법적인 접근이 발생하지 않도록 해야 한다”고 말했다.
◎공감언론 뉴시스 [email protected]
Copyright © NEWSIS.COM, 무단 전재 및 재배포 금지
