![[천지일보=남승우 기자] 서울 대치동학원가의 한 수학학원에서 학생들이 마스크를 쓴 채 공부하고 있다. ⓒ천지일보 2020.3.23](https://cdn.newscj.com/news/photo/202403/3123534_3148246_423.jpg)
[천지일보=정다준 기자] 학원가에서 10만명이 넘는 학생들의 개인정보가 유출되면서 이를 책임지고 있던 대상학원의 계열사 디지털대성 등 학원가에 과징금 철퇴가 내려졌다.
개인정보보호위원회는 28일 전체회의를 열고 온라인 학습 플랫폼 디지털대성과 하이컨시의 개인정보 유출 사건에 대해 8억 9300만원의 과징금과 1350만원의 과태료를 부과하기로 의결했다고 밝혔다.
두 회사는 모두 입시를 준비하는 청소년을 주요 고객층으로 두고 있어, 개인정보 보호에 각별한 주의를 기울여야 했음에도 불구하고 관련 법규를 위반한 것으로 나타났다.
먼저 디지털대성은 해커의 크리덴셜 스터핑(Credential Stuffing) 공격으로 인해 9만 5000명의 회원 정보가 유출된 것으로 조사됐다. 크리덴셜 스터핑은 한 웹사이트에서 유출된 아이디와 비밀번호를 다른 사이트에 무작위로 입력해 계정을 해킹하는 공격 방식이다.
조사에 따르면 디지털대성은 평소 공격을 당한 홈페이지에 침입 탐지·차단시스템 등 보안 시스템을 설치·운영하고는 있었으나, 보안 정책 관리 소홀로 단시간 동안 발생한 과도한 로그인 시도를 제대로 탐지·차단하지 못한 것으로 파악됐다. 이에 따라 대성에는 과징금 6억 1300만원과 과태료 330만원이 부과됐다.
또 입시학원인 하이컨시도 해커의 웹 취약점 공격으로 인해 1만 5143명의 회원 이름과 휴대전화번호 등 개인정보가 유출됐다. 하이컨시는 해킹 공격을 당한 홈페이지에 침입 탐지시스템 등을 운영하지 않은 것뿐만 아니라 관리자 페이지에 접속 시 안전한 인증 수단을 적용하지 않은 것으로 드러났다. 이에 2억 8000만원의 과징금과 1020만원의 과태료 처분이 이뤄졌다.
이에 개인정보위원회는 빠르게 디지털화되고 있는 교육 현장에 대응하기 위해 개인정보 관리 실태를 점검하고, 취약 요인에 대한 개선 방안을 마련할 계획이라고 밝혔다. 대상은 인터넷 강의를 제공하는 대형 학원 또는 얼굴·지문인식 등 생체정보를 활용하는 교육·학습 분야 사업자다.