[디지털데일리 최민지기자] 4일 방송통신위원회(이하 방통위)는 100만명 이상의 회원정보를 해커에게 유출당한 메가스터디교육에 과징금 2억1900만원과 과태료 1000만원을 부과했다.

이날 방통위는 전체회의를 열고 메가스터디교육에 대한 ▲과징금 2억1900만원 ▲과태료 1000만원 ▲위반행위의 중지 및 재발방지대책 수립 시정명령 ▲시정명령 처분사실 공표 등 행정처분을 의결했다.

메가스터디교육이 최근 3년간 과징금 처분을 받은 적 없고, 개인정보 유출 사실을 자진신고했다는 점을 고려해 추가 감경 10%를 적용했다.

방통위에 따르면 미상의 해커는 직원 신모씨의 초중등교육관리자 페이지에 접속해 ID를 지난해 7월17일 오전 10시43분경부터 오후 4시14분경 탈취, 관리자 페이지에서 개인정보를 조회하고 유출할 수 있는 공격 스크립트를 작성해 5개 IP를 이용하고 있는 서버에 업로드했다.

해커는 이를 통해 지난해 7월17일 오후 4시14분부터 18일 오전 5시02분까지 관리자페이지에 아이디·이름 등 개인정보를 조회하는 방법으로 개인정보를 ‘txt’ 파일로 저장해 외부로 유출했다. 유출된 정보는 아이디, 이름, 생년월일 등으로 총 123만3859건(중복제거 111만7227명)이다.

방통위는 메가스터디교육이 개인정보보호조치 중 침입차단, 침입탐지 시스템 설치 운영에 소홀했고, 최대 접속시간 제한 조치를 위반했다고 판단했다.

세션ID를 탈취당한 소속부서(CS팀)는 실시간으로 고객 요청건을 파악하기 위해 1분 단위로 자동 로딩되도록 시스템이 설정돼 있었다. 이에 세션 종료가 이뤄지지 않아 최대 접속시간 제한 등의 조치를 취하지 않았다는 설명이다.

메가스터디교육 측은 펜타시큐리티 웹방화벽과 시큐아이 침입방지시스템 등 전문장비를 갖춰 적법하게 설치·운영했다고 주장했다. 이에 대해 방통위는 단순히 보안솔루션 적용이 아니라 해당 시스템을 충분히 활용해 악성 프로그램의 업로드를 탐지하는 등 어느 경우라도 접근 제한 및 유출탐지 기능이 모두 충족돼야 한다며 사업자 측의 주장을 수용하지 않았다.

또한, 메가스터디교육은 사업 특성상 상담원들은 PC에 자동 절전 기능 설정으로 최대 3시간 이후에는 세션이 자동 종료된다고 반박했다.

하지만, 개인정보취급자가 업무를 하고 있지 않더라도 관리자 페이지 접속이 차단되지 않도록 설정된 사실이 드러났다. 타당한 이유가 없는데도 개인정보처리시스템에 접속이 3시간 동안 유지되는 것은 최대 접속시간 제한의 조치를 취하지 않은 것이다.

방통위 측은 “최근 빅데이터의 산업적 활용으로 이용자의 개인정보 보호가 더욱 중요하다”며 “개인정보 활용은 개인정보 보호가 전제돼야 하며, 이런 점에서 개인정보 유출사고에 대해서는 앞으로 더욱 엄격하게 제재함으로써 개인정보 보호에 만전을 기할 필요가 있다”고 말했다.

<최민지 기자>cmj@ddaily.co.kr