유명 입시학원 대성학원과 시대인재의 온라인 강의 사이트에서 수험생 11만명의 개인정보가 유출된 것으로 확인됐다.

개인정보위원회는 27일 전체회의를 열고 개인정보보호 법규를 위반한 ㈜디지털대성과 ㈜하이컨시에 대해 총 8억9300만원의 과징금과 1350만원의 과태료를 부과하기로 의결했다고 밝혔다. 디지털대성은 온라인 강의 서비스 ‘대성마이맥’을, 하이컨시는 대치동 유명 입시학원 시대인재의 온라인 교육 강좌 ‘리클래스’를 운영하고 있다.

두 회사 모두 해커들의 공격으로 수강생의 개인정보가 유출됐으며, 사고 발생 후 대응도 미흡했다. 디지털대성은 지난 1월12~16일 사이 공격이 벌어졌다. 해커는 1차로 이미 확보한 아이디, 비밀번호를 다른 홈페이지에 무작위로 대입해 로그인을 시도하는 ‘크리덴셜 스터핑(Credential Stuffing)’ 공격을 통해 회원 A의 계정을 탈취했다. 이어 회원 A의 계정으로 불법이용 신고 게시판에 악성 스크립트를 삽입한 게시글을 올렸고, 이 글을 직원이 열람하면서 악성 스크립트가 실행되는 ‘크로스사이트 스크립팅(XSS, Cross-Site Scripting)’ 공격이 벌어져 내부 보안 정보가 빠져나갔다.

이러한 공격으로 디지털대성 회원 9만5000여명의 개인정보가 유출됐다. 이 회사는 홈페이지에 침입탐지·차단시스템 등 보안시스템을 갖추고는 있었지만, 관리를 소홀히 해 갑작스레 로그인 시도가 늘었는데도 탐지하지 못했다. 또한 유출 사실을 알고도 72시간이 지나서야 유출 사실을 모두에게 알렸다.

개인정보위는 디지털대성에 개인정보보호법상 ‘안전조치의무 위반’과 ‘유출 통지·신고 위반’으로 과징금 6억1300만원, 과태료 330만원을 부과했다. 이 사실을 홈페이지 또는 일간지에 알리는 ‘공표 명령’도 내렸다.

지난해 7월 해킹 사실이 알려졌던 하이컨시는 해커의 웹 취약점 및 무차별 대응(Bruteforce) 공격으로 시대인재의 복습영상 사이트 ‘리클래스’ 회원 1만5143명의 이름과 휴대전화 번호가 유출됐다. 이 공격은 모든 가능한 문자의 조합을 넣어보고 틀리면 다른 문자를 반복적으로 적용해보는 시행착오식 방법이다.

하이컨시는 홈페이지에 침입탐지시스템 자체를 운영하지 않았고, 관리자 페이지에 접속 시 안전한 인증 수단을 적용하지도 않았다. 개인정보 유출을 인지하고 24시간이 지나서야 신고와 통지를 마쳤다.

개인정보위는 하이컨시에 과징금 2억8000만원과 과태료 1020만원을 부과하고, 역시 이 사실을 공표하도록 했다.

이번 사건을 계기로 개인정보위는 대형 학원의 보안 실태 점검에 나설 계획이다. 코로나19 확산 동안 이러닝 산업이 급격히 성장하면서 온라인 개인정보 수집도 늘었기 때문이다. 산업통상자원부에 따르면 이러닝 사업자 개인정보 수집률은 2022년 기준 81.8%에 달했다. 특히 대형 학원을 중심으로 출입·출결 과정에서 얼굴·지문인식 등 생체정보를 활용하는 사례까지 나오고 있다. 개인정보위는 오는 5월까지 시장 점유율이 높은 학원들을 대상으로 조사계획을 수립하고, 하반기에는 실태점검에 나서기로 했다.