Posted by 천재교과서가 개인정보보호위원회를 상대로 낸 과징금 부과처분 취소 소송에서 패소했다는 소식이에요. 지난 2021년 4월 천재교과서가 운영하는 ‘밀크T’ 서비스에서 개인정보가 유출된 것에 대해 내려진 과징금이 부당하니, 이를 취소해달라는 소송이었어요.
천재교과서의 주장 :
- 개인정보처리시스템에 대한 접근통제를 잘 이행하고 있었어.
- 우린 정보보호 관리체계(ISMS) 인증을 받았다고. 개인정보 안정성 확보를 위해 노력하고 있었어.
개인정보 유출이 어떻게 발생했는지가 중요해요 🌟
천재교과서는 초등온라인학습 ‘밀크T’를 운영하면서 모회사인 천재교육의 학습백과사전을 검색할 수 있는 기능을 제공하고 있었어요. 문제는 이때 밀크T DB 서버의 접근 권한을 일부 개인정보취급자 아이피 주소에 대해서만 차단하고 나머지 아이피 주소 대역은 모두 허용하고 있었던 점이에요. 또한, 웹 방화벽의 업로드 제한 정책에 확장자를 적용하지 않고 운영하였고, 웹서버에 웹쉘* 탐지 솔루션을 설치했지만 서버에 부하가 발생한다는 이유로 상시 운영하지 않았어요. 해커는 이 점을 이용해 천재교육 학습백과사전의 웹 서버에 올린 웹쉘과 터널링** 프로그램을 통해 개인정보를 빼돌린 거죠.
*웹셀(Webshell): 업로드 취약점을 파고들어 관리자 권한을 획득함으로써 원격으로 웹서버를 조종하는 악성코드
**터널링(Tunneling): 한 네트워크에서 다른 네크워크의 접속을 거쳐 데이터를 보낼 수 있는 기술
법원의 판결은
🧑⚖️ “천재교과서가 개인정보처리시스템에 마땅히 조치하여야 할 법적 의무를 충분히 이행하지 않았고 유출된 개인정보 양이 적지 않다는 점 등을 봤을 때 과징금 부과 처분과 부과액은 타당하다.”
실제로 천재교과서는 2019년에 ISMS 인증을 획득했어요. 하지만 그럼에도 불구하고 개인정보 유출 사고는 발생하고 말았죠. 이번 사건으로 우리가 기억해야 할 점은 인증을 받았다고 끝이 아니라는 것이에요. 인증은 단순 인증일 뿐, 인증을 받았다고 방심하는 순간 해커는 언제 그 빈틈을 파고들지 몰라요. 실제로 인증체계의 실효성에 대한 논란도 있고요. 그렇다 할지라도, 인증을 받았다는 사실이 사고의 면책 근거가 될 수는 없어요. 아무런 사고도 발생하지 않게 한다는 점이 보안 측면에서 너무나 높은 기준이라 할지라도, 결국은 평소 기본적인 관리가 가장 중요하다는 점, 꼭 기억해 주세요.