디지털대성 (대성마이맥·대성학원)

유출된 개인정보 항목

사고 경위

2024년 1월 12일, 해커가 크리덴셜 스터핑(Credential Stuffing) 공격으로 대성마이맥 회원 계정을 탈취했다. 이어 1월 15일에는 게시판의 XSS(크로스사이트 스크립팅) 취약점을 이용해 악성 스크립트를 삽입, 이를 열람한 내부 직원 2명의 세션 쿠키를 탈취해 관리용 웹 서비스에 무단 접속함으로써 회원 95,000여 명의 개인정보를 열람·유출했다.

㈜디지털대성은 침입탐지·차단시스템을 운영 중이었으나 보안정책 관리 소홀로 단시간 내 과도한 로그인 시도를 탐지·차단하지 못했고, 일부 페이지에 대한 취약점 점검을 누락해 악성 스크립트 삽입을 허용했다. 또한 유출 인지 후 72시간이 경과한 뒤에야 유출 통지를 완료하는 등 개인정보 보호법 제29조(안전조치 의무)와 제34조 제1항(유출통지 의무)을 위반했다.

개인정보보호위원회는 2024년 3월 27일 ㈜디지털대성에 과징금 6억 1,300만 원, 과태료 330만 원, 공표명령을 부과하기로 의결했다. 주요 이용자가 입시를 준비하는 청소년이라는 점에서 더욱 심각한 사안으로 평가됐다.

처분 결과

과징금 6억 1,300만 원, 과태료 330만 원, 공표명령