안녕하세요. 캐치시큐입니다!
최근 교육업계에서도 개인정보 유출과 관련된 문제가 발생하고 있습니다.
더불어 개인정보침해신고센터에 접수되는 민원도 증가하고 있는데요.
접수된 민원 중에서는 많은 사람들이 경험해 본 민원도 있습니다.
아래가 대표적인 민원 사례 두 가지입니다.
1. “대학에 합격했는데 다녔던 학원에서 이 사실을 학원 홈페이지에 게시하여 홍보하고 있습니다. 광고에 동의한 적이 없는데 위법 아닌가요?”
2. “대학에 불합격 후 어느 입시학원에서 전화가 와서 수강을 권유합니다. 제 개인정보를 제공한 적이 없는데 어떻게 된 건가요?”
두 가지 사례 모두 정보주체의 동의 없이 개인정보를 학원 홍보 용도로 사용한 것입니다.
특히 첫 번째 사례의 경우 학원가에 가면 흔하게 볼 수 있는데 학원에서는 개인정보 전문가가 없어 이러한 홍보가 개인정보 규제를 위반할 수 있다는 사실을 잘 모릅니다.
이러한 문제는 교육업계의 개인정보 보호에 대한 인식이 낮은 편이라는 것을 알 수 있습니다.
교육업계의 개인정보 보호에 대한 문제가 최근에 더욱 부각되었는데요.
그 이유는 대형 입시학원의 온라인 강의 사이트에서 수험생 11만 명의 개인정보가 유출된 사고가 발생했기 때문입니다.
개인정보가 유출된 회사는 총 두 곳인데요.
두 회사 모두 해커의 공격으로 개인정보가 유출되었고 사고 발생 후 대응도 미흡했는데요.
자세한 내용 알려드리겠습니다.
A회사
- 과징금 6억 1,300만 원 / 과태료 330만 원 / 공표 명령
- 9만 5,000여 명 개인정보 유출
- 해커가 1차로 아이디, 비밀번호를 확보했고 이를 다른 홈페이지에 무작위로 대입해 로그인을 시도하는 공격을 통해 한 회원의 계정을 탈취했습니다.
해당 계정을 통해 불법 이용 신고 게시판에 악성 스크립트를 삽입한 게시글을 올렸고, 이 글을 A 회사의 직원이 열람하면서 악성 스크립트가 실행되어 내부 보안 정보가 유출된 것입니다.
해당 회사는 보안시스템을 갖추고 있었지만, 관리 소홀로 로그인 시도가 갑자기 증가했음에도 이를 탐지하지 못했습니다.
B회사
- 과징금 2억 8,000만 원 / 과태료 1,020만 원 / 공표 명령
- 1만 5,143명 개인정보 유출
- 해커의 웹 취약점 및 무차별 대응 공격으로 개인정보가 유출되었습니다.
해당 공격은 모든 문자 조합을 넣어보면서 계속 반복적으로 적용하는 방법입니다.
해당 홈페이지는 침입탐지시스템을 운영하지 않았고, 관리자 페이지에 접속 시에도 다른 안전한 인증수단을 이용하지 않았습니다.
그리고 해당 사실을 인지 후 24시간이 지나서야 신고와 통지를 완료했습니다.
개인정보위 실태 점검
코로나19가 확산하는 동안 이러닝 산업이 성장하면서 온라인으로 수집하는 개인정보 증가, 대형 학원 중심 출결 과정에서 생체정보를 활용하는 사례와
해당 유출 사건을 계기로 개인정보위는 교육 분야에서 실태점검에 나설 계획인데요.
올해 5월까지 시장 점유율이 높은 학원들을 대상으로 조사계획을 수립했고, 하반기에는 실태점검에 나설 것으로 알려졌습니다.
그래서 실태점검 예상 체크리스트를 준비했는데요!
세 가지 항목으로 나누어 알아보겠습니다.
- 개인정보 수집
1. 개인정보 수집 시 필수항목과 선택항목을 구분하고 있는가?
2. 정보주체 동의 시 필수 고지 항목을 고지하고 있는가? - 개인정보 이용 및 제공
1. 제3자에게 개인정보 제공 시 필수 고지 항목을 고지하고 있는가?
2. 개인정보처리방침에 필수 고지 항목을 포함하고 있는가? - 개인정보 파기
1. 보유기간 만료, 목적이 달성된 개인정보는 파기하고 있는가?
2. 개인정보 파기 절차를 수립하고 있는가?
해당 체크리스트는 일부분이지만 우리 학원은 개인정보를 잘 관리하고 있는지 확인해 보시고 더 많은 항목을 점검해 보고 싶다면 해당 글을 참고하는 것을 추천해 드립니다!
오늘은 교육업계의 개인정보 유출 사고와 실태점검 예상 체크리스트에 대해 알려드렸습니다.
개인정보는 수집하는 순간부터 파기할 때까지 철저한 관리 내에서 이루어져야 합니다.
체크리스트를 통해 개인정보 보호에 대해 점검해 보시고 안전한 관리하세요!
개인정보 보호가 어렵거나 이번 유출 사고와 비슷한 경우를 예방하고 싶다면 캐치시큐를 이용해 보세요!
캐치시큐 엔터프라이즈 기능은 IP제한, 2단계 인증 보안 기능, 조직 및 구성원 접근 권한 관리 기능을 통해 개인정보를 안전하게 보호할 수 있도록 도와드립니다.
개인정보 보호, 캐치시큐와 함께 하세요!