Information

이지시큐 정보센터

정보 부실 관리·유출한 '메가스터디교육' 과징금 2억원

최신동향
작성자
이지시큐
작성일
2018-07-19 21:38
조회
160
방송통신위원회가 지난해 10월 개인정보 유출사고가 발생한 교육 서비스 업체 메가스터디교육에 과징금 2억1천900만원, 과태료 1천만원을 부과했다.
4일 방통위는 위원회 회의를 열고 메가스터디교육의 개인정보보호법 위반행위에 대한 시정조치에 관한 건에 대해 이같이 의결했다.
지난해 7월 메가스터디교육 개인정보처리시스템의 관리자 인증 세션이 탈취돼 회원정보 123만3천859건이 유출되는 사고가 발생한 것에 대한 시정조치다. 세션은 일정 시간 동안 같은 사용자로부터의 요구사항을 하나로 보고 해당 상태를 유지시키는 것을 뜻한다. 해커는 이를 통해 관리자 권한으로 메가스터디교육 회원 정보를 조회, 유출했다.
개인정보처리시스템 침입 차단·탐지 시스템의 설치·운영에 소홀한 점, 개인정보처리시스템 관리자페이지의 최대 접속시간 제한 조치를 하지 않은 점이 개인정보보호법 위반사항으로 적발됐다.
접속시간 제한 조치의 경우 세션이 탈취된 고객대응팀에서 1분 단위로 시스템을 자동으로 불러오도록 해 세션 종료가 이뤄지지 않은 점이 문제가 됐다. 방통위 고시에서는 장시간 접속이 필요한 경우 접속 시간 등을 일지에 기록하도록 하고, 최대 접속 시간을 통상적으로는 10~30분 이내로 정하도록 하고 있다.
방통위는 메가스터디교육에 대해 중대한 위반이라 판단, 관련 매출액의 1천분의 21인 4억8천800만원을 과징금으로 산정했다. 여기에 최근 3년간 과징금 처분을 받은 적이 없다는 점을 감안해 50%를 감경했다. 과태료는 1회 위반에 해당하는 1천만원이 부과됐다.
...중략...
과기정통부 소관인 정보보호 관리체계 인증제도(ISMS), 방통위와 행안부 소관인 개인정보보호 관리체계 인증제도(PIMS)를 통합, '정보보호 및 개인정보보호 관리체계 인증제도(ISMS-P)'로 변경하는 것.
ISMS 인증기준 104개와 PIMS 인증기준 86개를 통합해 ISMS-P의 인증기준은 관리체계 수립 및 운영·보호대책 요구사항·개인정보 처리단계별 요구사항 등 3개 영역 102개로 일원화했다.
해당 제도는 고시 발령일부터 시행된다. 시행 후 6개월까지는 기존 제도로 신규·갱신 인증 신청이 가능하다. 향후 과기정통부, 방통위, 행안부가 공동으로 행정예고와 규제개혁위원회 심의를 거쳐 위원회 의결 뒤 개정안을 시행할 예정이다.

출처 : 네이버 뉴스 김윤희 기자
http://www.zdnet.co.kr/news/news_view.asp?artice_id=20180704140106&type=det&re=zdk
error: Content is protected !!