[개인정보보호 이슈] 대형 입시학원, 개인정보 유출 억대 과징금...개인정보위 실태점검 나선다!

안녕하세요. 황컴플라이언스 입니다.

최근 교육업계에서도 개인정보 유출과 관련된 문제가 발생하고 있습니다. 

• 더불어 개인정보침해신고센터에 접수되는 민원도 증가하고 있습니다.
• 접수된 민원 중에서는 많은 사람들이 경험해 본 민원도 있을 것 입니다.

아래가 대표적인 민원 사례 2가지입니다.

• 1. "대학에 합격했는데 다녔던 학원에서 이 사실을 학원 홈페이지에 게시하여 홍보하고 있습니다. 광고에 동의한 적이 없는데 위법 아닌가요?"
• 2. "대학에 불합격 후 어느 입시학원에서 전화가 와서 수강을 권유합니다. 제 개인정보를 제공한 적이 없는데 어떻게 된건가요?"

상기 2가지 사례가 모두 정보주체의 동의 없이 개인정보를 학원 홍보 용도로 사용한 사례입니다.

특히, 첫번째 사례의 경우, 학원가에 가면 흔하게 볼 수 있는데, 학원에서는 개인정보 전문가가 없어 이러한 홍보가 개인정보 규제를 위반할 수 있다는 사실 자체를 잘 모르고 있습니다.

이러한 문제는 교육업계의 개인정보보호에 대한 인식이 매우 낮은 편이라는 것을 알 수 있습니다.

교육업계의 개인정보보호에 대한 문제가 최근에 더욱 부각되었는데요.

그 이유는 대형 입시학원의 온라인 강의 사이트에서 수험생 11만명의 개인정보가 유출된 사고가 발생했기 때문입니다.

 

개인정보가 유출된 회사는 총 2곳인데요.

두 회사 모두 해커의 공격으로 개인정보가 유출되었고, 사고 발생 후 대응도 미흡했는데요. 자세한 내용을 알려드리겠습니다.

A회사

• 과징금 6억 1,300만원 / 과태료 330만원 / 공표 명령
• 9만 5,000여명 개인정보 유출
• 해커가 1차로 아이디, 비밀번호를 확보했고 이를 다른 홈페이지에 무작위로 대입해 로그인을 시도하는 공격을 통해 한 회원의 계정을 탈취했습니다.
• 해당 계정을 통해 불법 이용 신고 게시판에 악성 스크립트를 삽입한 게시글에 올렸고, 이 글을 A회사의 직원이 열람하면서 악성 스크립트가 실행되어 내부 보안 정보가 유출된 것 입니다.
• 해당 회사는 보안시스템을 갖추고 있었지만, 관리 소홀로 로그인 시도가 갑자기 증가했음에도 이를 탐지하지 못했습니다.

B회사

• 과징금 2억 8,000만원 / 과태료 1,020만원 / 공표 명령
• 1만 5,143명 개인정보 유출
• 해커의 웹 취약점 및 무차별 대응 공격으로 개인정보가 유출되었습니다.
• 해당 공격은 모든 문자 조합을 넣어보면서 계속 반복적으로 적용하는 방법입니다.
• 해당 홈페이지는 침입탐지시스템을 운영하지 않았고, 관리자 페이지에 접속 시에도 다른 안전한 인증수단을 이용하지 않았습니다. 그리고 해당 사실을 인지 후 24시간이 지나서야 신고와 통지를 완료했습니다.

개인정보보호위원회 실태점검

코로나 19가 확산하는 동안 이러닝 산업이 성장하면서 온라인으로 수집하는 개인정보 증가, 대형 학원 중심 출결 과정에서 생체정보를 활용하는 사례와 해당 유출 사건을 계기로 개인정보보호위원회는 교육 분야에서 실태점검에 나섰는데요.

올해 5월까지 시장 점유율이 높은 학원들을 대상으로 조사계획을 수립하였고, 하반기에는 실태점검에 나선 것으로 알려졌었습니다.

실태점검 예상 체크리스트는 아래 3가지 항목으로 나누어 알아보겠습니다.

 

개인정보 수집

• 1. 개인정보 수집 시 필수항목과 선택항목을 구분하고 있는가?
• 2. 정보주체 동의 시 필수 고지 항목을 고지하고 있는가?

개인정보 이용 및 제공

• 제3자에게 개인정보 제공 시 필수 고지 항목을 고지하고 있는가?
• 개인정보처리방침에 필수 고지 항목을 포함하고 있는가?

개인정보 파기

• 보유기간 만료, 목적이 달성된 개인정보는 파기하고 있는가?
• 개인정보 파기 절차를 수립하고 있는가?

해당 체크리스트는 일부분이지만 우리 학원은 개인정보를 안전하게 잘 관리하고 있는지 확인해 보시고, 더 많은 항목을 점검해보시길 바랍니다.

개인정보는 수집하는 순간부터 파기할 때까지 철저한 관리 내에서 이루어져야 합니다.

체크리스트를 통해 개인정보보호에 대해 점검해 보시고 안전한 관리하시길 바랍니다.