개인정보위는 이날 전체회의를 열고 3개 사업자에 과징금 3700만원과 과태료 2140만원을 부과했다.
위원회에 따르면 위더스교육은 파일을 온라인에 올릴 때 보안 취약사항을 제대로 점검하지 않았다. 이 탓에 웹셸 해킹 공격으로 수강생 이름, 연락처 등 개인정보를 유출했다.
위더스 교육은 또 침입탐지·차단 시스템 운영을 소홀히 했다. 탈퇴자 개인정보도 즉시 파기하지 않았다. 1년 이상 장기 미사용자 개인정보도 분리 보관하지 않았다.
뉴지스탁은 누리집 자유게시판 보안 취약사항을 점검하지 않았다. 뉴지스탁도 웹셸 해킹 공격을 받고 개인정보를 유출했다.
창비는 에스큐엘 질의명령문 등 누리집 입력값 검증을 소홀히했다. 창비는 또 개인정보 취급자 접속기록을 남기지 않는 등 개인정보 기술·관리 보호조치 의무를 다하지 않았다.
이밖에 개인정보처리시스템을 운영하면서 안전한 인증수단을 적용하지 않았고 1년 이상 장기 미이용자 개인정보를 파기 또는 분리 관리하지 않았다.
송금종 기자 song@kukinews.com
