'개인정보 유출' 디지털대성…과징금·과태료 6.2억 부과

이승우 기자

입력2024.03.28 19:04 수정2024.03.29 00:21 지면A35

하이컨시에도 2.9억

유명 입시학원인 대성학원과 하이컨시(시대인재)의 온라인 강의사이트에서 수강생의 개인정보가 대거 유출돼 정부 제재를 받았다.

개인정보보호위원회는 지난 27일 전체 회의를 열고 개인정보보호 법규를 위반한 디지털대성과 하이컨시에 총 8억9300만원의 과징금과 1350만원의 과태료를 부과하기로 의결했다고 28일 발표했다.

디지털대성은 해커의 크리덴셜 스터핑 공격과 홈페이지 게시판에 대한 크로스사이트 스크립팅 공격으로 회원 9만5000여 명의 개인정보가 유출됐다. 유출을 인지하고 72시간 뒤 유출통지를 완료하는 등의 안전조치와 유출통지 의무도 제대로 지키지 않은 것으로 밝혀졌다. 개인정보위는 디지털대성에 과징금 6억1300만원과 과태료 330만원을 부과했다.

하이컨시는 해커의 웹 취약점 및 무차별 대입 공격으로 회원 1만5000여 명의 성명과 휴대폰 번호 등 개인정보가 유출됐다.

과징금 2억8000만원과 과태료 1020만원이 부과됐다.

이승우 기자 leeswoo@hankyung.com

관련 뉴스

1

개인정보위 "LLM 데이터 학습 전 주민번호 등 중요 정보 제거해야"

대규모 언어모델(LLM) 학습 과정에서 주민등록번호, 신용카드번호 등 개인정보가 포함될 수 있어 개선이 필요하다는 조사 결과가 나왔다. 사업자들이 서비스 개선을 목적으로 이용자가 입력한 프롬프트를 들여다볼 경우 이를 사전에 알리는 절차도 추가된다.개인정보보호위원회는 지난 27일 전체 회의를 열고 LLM을 개발·배포하거나 이를 기반으로 인공지능(AI) 서비스를 제공하는 6개 사업자에 대해 개인정보 보호의 취약점을 보완하도록 개선 권고를 의결했다고 28일 발표했다.이번에 포함된 업체는 오픈AI, 구글, 마이크로소프트, 메타, 네이버, 뤼튼 등 6곳이다.개인정보위는 초거대 AI, 생성형 AI 서비스가 확산에 따른 프라이버시 침해 우려에 따라 작년 11월부터 주요 AI 서비스를 대상으로 사전 실태점검을 진행했다.취약점 점검 결과 전반적으로 개인정보 처리 방침 공개, 데이터 전처리, 정보 주체의 통제권 보장 등 개인정보보호법상 기본 요건을 대체로 충족하는 것으로 나타났다. 하지만 개인정보가 포함된 대규모 데이터를 학습하는 AI 서비스의 비가역성을 고려해 투명성과 접근성을 높일 필요가 있는 것으로 판단됐다.AI 서비스 제공사업자는 인터넷에 공개된 데이터를 수집해 AI 모델 학습 데이터로 쓴다. 이 과정에서 주민등록번호, 신용카드번호 등 한국인의 중요한 개인정보가 포함될 수 있는 것으로 나타났다. 오픈AI, 구글, 메타는 개인정보 집적 사이트를 AI 모델 학습에서 배제하고, 학습데이터 내 중복 및 유해 콘텐츠 제거 조치와 AI 모델이 개인정보를 답변하지 않도록 하는 조치를 적용하고 있다. 하지만 학습 데이터에서 주민등록번호 등 주요 식별정보를 사전 제거하는 조치가 충분하지 않은 것으로 확인됐다.개인정보위는 AI 서비스 제공 단계별 보호조치 강화를 요구하는 한편 사전 학습 단계에서 주요 개인식별정보 등이 제거될 수 있도록 인터넷에 국민의 개인정보가 노출된 것을 탐지한 데이터를 AI 서비스 사업자에게 제공할 계획이다.이용자들이 AI 서비스에 입력한 질문과 AI의 답변 내용을 사업자가 직접 열어보는 것도 문제로 나타났다. 사업자는 AI 모델 학습과 프롬프트 등 서비스 개선에 이를 활용하고 있지만 이용자 입장에선 본인이 입력한 데이터를 사람이 확인하는 과정을 알기 어렵다는 지적이다. 중요한 개인정보나 이메일 등 민감한 내용을 입력하고 이를 사업자가 데이터화할 경우 사생활 침해로 이어질 수 있는 것으로 나타났다. 실제로 특정 AI 서비스 이용자들이 작년 12월 30일부터 일주일간 입력한 데이터를 보면 전화번호 672건, 이메일주소 142건 등이 포함됐다. 주민등록번호(2건)와 여권번호(34건)를 입력한 사례도 있었다.개인정보위는 이용자 입력 데이터에 대한 인적 검토과정을 거치는 경우 사전 식별정보 제거 조치를 준수하고 이용자에게 관련 사실을 명확하게 고지하는 한편 이용자가 입력 데이터를 손쉽게 제거·삭제할 수 있도록 해당 기능에 대한 접근성을 높일 것을 권고했다.개인정보위는 다음 달 이후 딥엘, SK텔레콤, 스노우, 뷰노 등의 AI 서비스에 대한 실태점검 결과도 발표할 예정이다.개인정보위 관계자는 “향후 AI 모델의 고도화, 오픈 소스 모델의 확산 등 새로운 AI 기술과 산업 변화에 맞춰 이용자의 개인정보를 안전하게 보호할 수 있도록 지속해서 모니터링하고 후속 조치를 추진할 계획”이라고 설명했다.이승우 기자 leeswoo@hankyung.com
2

AI 등 신기술 개발 시 정부가 개인정보보호 방안 찾아준다

기업이 인공지능(AI) 등 새로운 기술을 개발할 때 개인정보보호법 준수 방안을 찾기 어려울 경우 정부가 협력해 법 적용방안을 마련하는 사전적정성 검토제가 본격 운영된다.개인정보보호위원회는 지난 27일 전체 회의를 열고 사전적정성 검토제 운영 규정 제정안을 의결했다고 28일 발표했다.사업자가 AI 등 신서비스·신기술 기획·개발 단계에서 기존의 선례만으로 명확한 개인정보보호법 준수방안을 찾기 어려운 경우 개인정보위와 협력해 적합한 법 적용방안을 마련하는 제도다.작년 10월부터 시범운영을 했고 이번 고시 제정을 통해 본격적으로 운영된다.신청이 접수되면 개인정보위와 신청인이 새로운 서비스, 기술의 개인정보 처리 환경을 분석하고, 시스템 구조·설계 변경이나 안전장치 확충을 통해 개인정보보호법을 준수할 방안을 마련한다. 최종적으로 개인정보위 의결을 통해 확정하게 된다. 협의가 이뤄진 보호법 준수 방안을 신청인이 적정히 이행하는 경우 향후 개인정보보호법상 불이익한 행정처분을 받지 않게 된다.개인정보위는 신청인을 위한 안전장치가 필요하다는 산업계 의견을 반영해 신청인 제출자료는 사전적정성 업무 처리 목적으로만 활용하도록 제한하고, 검토 결과서도 신청인의 의사에 반해 공개하지 못하도록 하는 비밀 유지 규정을 마련했다.개인정보위 관계자는 “사전적정성 검토제의 확산을 통해 디지털 전환, 데이터 경제 시대 급변하는 신기술 현장과 긴밀히 소통해 선제적으로 신산업의 법적 불확실성을 해소하겠다”고 말했다.이승우 기자 leeswoo@hankyung.com
3

개인정보 유출된 인터넷 강의 사업자에 과징금 8.9억원 부과

개인정보보호위원회는 지난 27일 전체 회의를 열고 개인정보보호 법규를 위반한 디지털대성과 하이컨시 등 인터넷 강의 사업자 두 곳에 대해 총 8억9300만원의 과징금과 1350만원의 과태료를 부과하기로 의결했다고 28일 발표했다.디지털대성은 해커의 크리덴셜 스터핑 공격과 홈페이지 게시판에 대한 크로스사이트 스크립팅 공격으로 회원 9만5000여명의 개인정보가 유출됐다. 크리덴셜 스터핑은 이미 확보한 아이디, 패스워드를 다른 사이트에서 무작위로 대입해 로그인 정보를 확인하는 공격 기법이다. 크로스사이트 스크립팅은 공격자가 악성 스크립트를 삽입한 게시글 등을 등록해 이를 클릭한 이용자의 기기에서 악성 스크립트 실행을 유도하는 공격이다.디지털대성은 침입탐지, 차단 시스템 등 보안 시스템을 운영하고 있었지만, 단시간 발생한 과도한 로그인 시도를 제대로 탐지·차단하지 못했다. 그뿐만 아니라 홈페이지 취약점 점검을 누락해 게시판에 악성 스크립트가 삽입됐다. 유출 인지 후 72시간을 지나 유출통지를 완료하는 등 안전조치 의무와 유출통지 의무를 제대로 지키지 않은 것으로 밝혀졌다.하이컨시는 해커의 웹 취약점 및 무차별 대입 공격으로 회원 1만5000여명의 성명과 휴대폰 번호 등 개인정보가 유출됐다. 이 업체는 홈페이지에 침입탐지시스템 등을 운영하지 않았고 관리자 페이지 접속 시 인증 수단을 적용하지 않았다.개인정보위는 빠르게 디지털화되고 있는 교육 현장에 대응하기 위해 인터넷 강의를 제공하는 대형 학원과 얼굴·지문인식 등 생체정보를 활용하는 교육·학습 분야 사업자를 대상으로 개인정보 관리실태를 점검하고 취약점 개선방안을 마련할 계획이다.이승우 기자 leeswoo@hankyung.com