온라인 원격평생교육원 서비스를 제공하는 위더스교육이 해킹 공격으로 수강생의 이름·연락처 등 개인정보가 유출돼 3700만원의 과징금과 1000만원의 과태료를 부과받았다.
개인정보보호위원회(개인정보위)는 8일 제10회 전체회의를 열고 개인정보보호 법규를 위반한 위더스교육·뉴지스탁·창비 등 3개 사업자에 대해 총 3700만원의 과징금과 2140만원의 과태료 부과를 결정했다.
위더스교육은 파일을 온라인에 올릴 때 보안 취약사항을 제대로 점검하지 않아 ‘웹셸(Web Shell)’에 의한 해킹 공격을 받았다. 웹셸은 시스템에 명령을 내릴 수 있는 코드로서 웹서버 취약점을 통해 서버 스크립트가 게재되면 해커들은 보안 시스템을 피해 별도 인증 없이 시스템 접속이 가능하다. 해커들은 원격으로 웹서버를 조종할 수 있게 된다.
주식 데이터분석 서비스 제공 업체인 뉴지스탁은 홈페이지 자유게시판에 대해 보안 관련 취약 사항 등을 점검하지 않았다. 웹셸에 의한 해킹 공격을 받아 이용자 연락처 등 개인정보가 유출돼 시정명령과 과태료 360만원을 부과받았다.
온라인 도서 사이트를 운영하는 창비는 홈페이지 입력값에 대한 검증을 소홀히 해 개인정보가 타인에게 노출됐다. 창비에게는 시정명령과 과태료 780만원을 부과됐다.
양청삼 개인정보위 조사조정국장은 "비대면 활동의 비약적인 증가와 맞물려 해커의 공격으로 인한 개인정보 유출 사고가 지속적으로 발생하고 있다"며 "보안 취약점을 주기적으로 확인해 개인정보처리시스템에 대한 불법적인 접근이 발생하지 않도록 상시 점검해야 한다"고 말했다.