개인정보위, '수강생 개인정보 유출' 위더스교육 등 3개사 제재

[아이뉴스24 김혜경 기자] 위더스교육 등 3개 사업자가 개인정보 유출로 과징금과 과태료를 부과받았다.

윤종인 개인정보보호위원회 위원장이 8일 오전 정부서울청사에서 개최된 제10회 전체회의에서 모두발언을 하고 있다. [사진=개인정보위]

개인정보보호위원회(위원장 윤종인)는 8일 전체회의를 열고 개인정보보호 법규를 위반한 3개 사업자에 총 3천700만 원의 과징금과 2천140만 원의 과태료를 부과하기로 결정했다. 이번에 제재를 받은 곳은 위더스교육과 뉴지스탁, 창비다.

이번 조사는 해당 사업자들이 한국인터넷진흥원(KISA‧원장 이원태)에 개인정보 유출 사실을 신고함에 따라 진행됐다. 조사 결과 3개사는 '웹셸(Web Shell)'과 'SQL 주입(SQL Injection)' 공격 등으로 개인정보가 유출됐다.

웹셸은 시스템에 명령을 내릴 수 있는 코드다. 웹서버 취약점을 통해 서버 스크립트가 게재되면 공격자는 원격으로 해당 웹서버를 조종할 수 있다. SQL 주입은 데이터베이스로부터 공격자가 원하는 자료를 빼내는 공격 기법이다.

위더스교육의 경우 파일을 온라인에 올릴 때 보안 취약점을 제대로 점검하지 않아 웹셀 공격으로 수강생 개인정보가 유출됐다. 또 탈퇴한 이용자 개인정보를 즉시 파기하지 않았고, 1년 이상 장기 미이용자의 개인정보를 다른 이용자 정보와 분리해 보관하지 않은 것으로 나타났다.

주식 데이터분석 서비스 제공업체인 뉴지스탁도 웹셀 공격으로 개인정보가 유출됐다. 온라인 도서 사이트를 운영하는 창비는 'SQL 질의명령문(query)' 등에 대한 검증을 소홀히 해 개인정보가 노출됐다.

또 개인정보 취급자의 접속기록을 남기지 않는 등 보호조치 의무를 다하지 않았고, 1년 이상 장기 미이용자의 개인정보를 파기하거나 별도 보관하지 않았다.

양청삼 개인정보위 조사조정국장은 "비대면 활동이 비약적으로 늘면서 해커의 공격으로 인한 개인정보 유출 사고가 지속적으로 발생하고 있다"라며 "사업자는 보안 취약점을 주기적으로 확인해 안전조치 의무를 준수하고 있는지 상시 점검해야 한다"고 말했다.

/김혜경 기자(hkmind9000@inews24.com)