방통위, 개인정보 123만여건 유출 메가스터디에 과징금 2억원 부과

지난해 7월 해킹 당해 개인정보 대량 유출
“고객 개인정보 보호 미흡”

자료 이미지. 클립아트코리아

지난해 100만명이 넘는 회원들의 개인정보를 유출시킨 온라인교육 업체 메가스터디교육에 과징금 2억1900만원과 과태료 1000만원이 부과됐다.

방송통신위원회는 4일 전체회의를 열어 메가스터디교육에 과징금·과태료 부과와 함께 위반행위 중지 및 재발방지 대책 수립을 요구하는 시정명령을 내렸다. 메가스터디교육은 지난해 7월17일 해킹을 당해, 회원 111만7227명의 사용자이름(아이디)·이름·생년월일 등 개인정보 123만3859건이 유출됐다. 해커는 메가스터디교육 직원 신아무개씨의 초중등교육관리자 페이지에 접속해 세션 아이디를 탈취한 뒤 개인정보를 조회·유출할 수 있는 공격스크립트를 서버에 올리는 방식으로 개인정보를 빼냈다. 세션아이디는 한 이용자가 일정 시간 동안 페이지에 접속한 상태를 유지하도록 돕는 것이다.

메가스터디교육은 개인정보 보호조치 가운데 침입 차단과 침입 탐지 시스템을 설치·운영하는데 소홀하고 관리자의 최대 접속시간 제한 조치를 제대로 취하지 않은 것으로 드러났다. 해커에게 세션아이디를 탈취당한 직원 신아무개씨는 고객관리(CS)팀에 속해 있는데, 이 팀은 실시간으로 고객 요청을 파악하기 위해 1분 단위로 페이지가 자동로딩 되도록 시스템을 설정해두었다.

메가스터디교육은 “씨에스 업무 특성상 불가피한 선택”이라며 “상담원들의 피시에 자동 절전 기능을 설정하고 최대 3시간 이후에는 세션이 자동으로 종료되도록 했다”고 주장했지만, 방통위는 받아들이지 않았다. 방통위는 “고시 해설을 보면 최대 접속시간은 최소한(통상 10~30분 이내)로 정하고, 장시간 접속이 필요할 때는 접속시간 등 기록을 보관·관리토록 설명하고 있다”면서 “그런데도 상담업무를 하는 개인정보취급자가 아무런 작업을 하지 않는 등 타당한 이유가 없는데도 개인정보처리시스템에 대한 접속이 3시간 동안 유지되는 것은 규정에서 정한 최대 접속시간 제한의 조처를 하지 않은 것”이라고 밝혔다.

김효실 기자 trans@hani.co.kr