정보의 무한한 공유와 확장이 가능한 디지털 시대에서 개인정보 보호의 중요성은 날로 커질 수 밖에 없다.
개인정보를 다루는 정부나 기업들이 디지털 보안을 최우선 순위에 두는 이유다. 이런 엄중한 상황에서 또 다시 개인정보가 유출되는 사고가 일어났다. 금융정보만큼 민감한 청소년들의 개인정보였기에, 심각성은 더 크다고 할 수 있다. 이에 정부가 상당한 과징금과 과태료를 부과하며 경각심을 촉구했다.
대성학원과 시대인재 등 유명 학원을 각각 운영하고 있는 디지털대성과 하이컨시는 국내를 대표하는 인터넷 강의 사업자이기도 하다. 디지털대성은 온라인 강의 서비스 '대성마이맥', 하이컨시는 시대인재 학원과 연계한 '리클래스' 온라인 교육 강좌를 서비스 하고 있다.
입시를 준비하는 청소년들이 주로 이용하고 있어 개인정보 유출에 더욱 같한 주의를 필요가 있음에도 불구, '개인정보 보호법'에 따른 안전조치와 개인정보 유출 통지 등의 의무를 위반했다는 것이 과징금과 과태료 부과의 이유라고 개인정보위는 밝혔다.
과징금 6억 1300만원을 부과받은 디지털대성의 경우 해커의 '크리덴셜 스터핑'(이미 확보한 아이디, 비밀번호를 다른 홈페이지에도 무작위로 대입해 로그인 정보를 확인하는 기법) 공격과 홈페이지 내 게시판에 대한 '크로스사이트 스크립팅'(입력값 검증 미흡으로 인해 공격자가 악성 스크립트를 넣은 게시글 등을 등록하고, 이후 게시글을 읽은 이용자의 의도와 관계없이 악성 스크립트 실행을 유도하는 기법) 공격을 받아 회원 9만 5000여명의 개인정보가 유출됐다.
디지털대성은 홈페이지에 침입탐지 및 차단시스템 등 보안 시스템을 설치 및 운영하고 있지만, 보안정책 관리 소홀로 단시간 동안 발생한 과도한 로그인 시도를 제대로 탐지하지 못한 것으로 나타났다. 해커의 단순한 공격을 알아채지 못할만큼 보안을 허술하게 했다는 뜻이다. 또 유출을 인지한 후 72시간을 경과한 상태에서 이를 통지, '개인정보 보호법' 제29조와 제34조의 의무를 제대로 지키지도 못한 것으로 밝혀졌다.
이와 관련 디지털대성 측은 "현재 개인정보 유출 재발 방지를 위한 보안조치에 최선을 다하고 있다"고 밝혔다.
하이컨시는 과징금 2억 8000만원과 과태료 1020만원을 부과받았다. 해커의 웹 취약점 및 무차별 대입(모든 가능한 문자의 조합을 시행하고 틀리면 다른 문자를 적용해보는 반복 시도) 공격으로 회원 1만 5143명의 성명 및 휴대전화번호 등의 개인정보가 유출됐다. 공격을 당한 홈페이지에 침입탐지시스템 등을 운영하지 않은 것은 물론, 관리자 페이지 접속 시 안전한 인증 수단을 적용하지 않았다. 시스템 미비라 할 수 있다. 또 유출을 인지한 후 24시간을 경과해 신고 및 통지를 완료하며 역시 개인정보 보호법을 위반한 것으로 나타났다.
디지털대성과 하이컨시는 의대생 2000명 증원으로 인한 온오프라인 수강 수요 증가로 실적이 더 크게 오를 것이라는 기대를 받고 있다. 이로 인해 코스닥 시장에 상장된 디지털대성의 경우 지난 2월 52주(1년) 최고가인 6810원을 찍기도 했다. 인적, 물적으로 보안 시스템에 더욱 투자를 해야 하는 이유이기도 하다.
개인정보위 관계자는 "빠르게 디지털화되고 있는 교육 현장에 대응하기 위해 인터넷 강의를 제공하는 대형 학원 또는 얼굴·지문인식 등 생체정보를 활용하는 교육·학습 분야 사업자를 대상으로 개인정보 관리실태를 점검하고, 취약 요인에 대한 개선방안을 마련할 계획"이라고 밝혔다.
남정석 기자 bluesky@sportschosun.com
