주메뉴바로가기본문바로가기
비즈한국 비즈한국

独家
Daesung MyMac 113万条个人信息泄露,行政法院判决“6亿韩元罚款合法”

本文由AI自动翻译。与韩语原文相比可能存在误差。  Read original in Korean →

[비즈한국] 随着《个人信息保护法》修订后,多家收到巨额罚款的企业接连提起行政诉讼,法院针对适用强化标准后的首个制裁案件作出了判决。关于在线教育网站“Daesung MyMac”的个人信息泄露事件,法院认定个人信息保护委员会作出的6亿韩元左右罚款处分是合法的。法院判定,运营商Digital Daesung068930因未履行安全保障义务,导致约9.5万名用户的个人信息被窃取。后续其他提起类似诉讼的企业是否会面临同样的结论,引发关注。

针对在线教育网站“Daesung MyMac”提起的关于个人信息泄露事件罚款取消诉讼,法院判决个人信息保护委员会作出的6亿韩元左右罚款处分合法。图片来源=韩联社
针对在线教育网站“Daesung MyMac”提起的关于个人信息泄露事件罚款取消诉讼,法院判决个人信息保护委员会作出的6亿韩元左右罚款处分合法。图片来源=韩联社

9.5万名会员信息泄露

经确认,Daesung学院旗下子公司Digital Daesung针对去年初发生的大规模个人信息泄露事件,因不服个人信息保护委员会作出的制裁处分而提起行政诉讼,近期被判败诉。14日,首尔行政法院第14行政庭(审判长李尚德)在Digital Daesung针对个人信息保护委员会提起的罚款处分取消诉讼中,判决原告败诉。

法院表示:“难以认定被告通过分析IP地址等方式探测、应对个人信息泄露企图,或采取措施防止个人信息通过个人信息处理系统泄露,已履行了社会观念上合理期待的安全保障措施,因此驳回原告的请求。”

今年1月,Daesung MyMac遭遇了“撞库(Credential Stuffing)”攻击以及网站公告栏内的“跨站脚本(XSS,通过在浏览帖子时执行恶意指令窃取信息的方式)”攻击,导致约9.5万名会员的个人信息被窃取。

撞库是指获取已泄露的大量账号密码列表,利用自动化程序在目标网站进行随机登录尝试的攻击手段。仅今年一年,GS Retail007070、Tmoney等企业也因类似攻击被攻破。黑客在通过撞库成功登录后,在Daesung MyMac的特定网页内发布了含有XSS指令的帖子。当员工点击阅读该帖子时,黑客窃取了员工账户的会话信息,进而导致9万5171名会员的ID、部分遮盖的姓名、电话号码、电子邮件地址等个人信息泄露。

位于首尔政府首尔办公楼的个人信息保护委员会。图片来源=林俊善记者
位于首尔政府首尔办公楼的个人信息保护委员会。图片来源=林俊善记者

个人信息保护委员会在接到Digital Daesung的泄露申报后展开调查,两个月后的3月认定Digital Daesung违反了《个人信息保护法》中有关安全保障措施和个人信息泄露通知等的义务,对其处以6亿1300万韩元罚款、330万韩元过失罚款,并下达了公开处罚命令。委员会指出,由于该网站主要是青少年备考使用,理应对个人信息泄露格外警惕,但管理上存在疏忽。当时Digital Daesung收集并持有的个人信息多达113万8000条(截至去年1月底)。

“黑客防御措施不足”

Digital Daesung主张其已充分安装并运行了探测和拦截外部入侵的系统,但该主张未被采纳。XSS攻击是典型的黑客技术之一,在网上极为频繁。若能验证输入值中是否包含恶意指令,可在一定程度上预防,法院也对此进行了指正。获得韩国互联网振兴院(KISA)信息保护管理体系(ISMS)认证的Daesung MyMac虽安装并运行了反DDoS、网络防火墙(UTM)、Web防火墙、数据库访问控制解决方案,并由SK Broadband提供安全监控服务,且在通过AhnLab探测到XSS攻击后采取了拦截黑客IP等措施。

个人信息保护委员会的指南中也提及,应从发布文章阶段起验证输入值,采取拦截措施以防止恶意指令注册。但调查显示,事发时该公告栏并未实施自动拦截XSS攻击的策略,也未实施探测并拦截5分钟内4026次异常登录尝试的策略。

法院判决称:“即便采取了探测后拦截IP等措施,这也仅是对已经发生的黑客事件的事后补救,不能被视为旨在预防或阻断XSS攻击本身的充分安全保障措施。”

对于公司方面提出的“考虑到网站特性,输入值验证程序可能导致错误,难以在现实中应用”的主张,法院指出:“可以设想通过负责人及时设定拦截例外等方式,灵活运用XSS自动拦截策略的折中方案。”

遭巨额罚款的企业接连诉讼

Daesung MyMac事件是个人信息保护法修正案施行、罚款负担加重后,首次适用新标准的案例。违反个人信息保护法产生的罚款,过去以“违法行为相关营业额的最高3%”为基准计算,但自2023年9月起扩大为“整体营业额的3%”。虽然排除了与违法行为无关的营业额,但举证责任在企业。

同年11月,Golfzon215000(75亿韩元)和SK Stoa(14亿韩元)等也发生了大规模个人信息泄露,个人信息保护委员会分别于去年5月和今年1月作出行政处罚。Golfzon遭受的也是与Digital Daesung类似的撞库攻击,SK Stoa则遭受了勒索软件攻击。

上个月Daesung学院旗下子公司再次发生了个人信息泄露事件。图片来源=Daesung MyMac官网
上个月Daesung学院旗下子公司再次发生了个人信息泄露事件。图片来源=Daesung MyMac官网

针对Daesung MyMac,个人信息保护委员会在近3年年均销售额中排除了与违规行为无关的销售额,乘以0.68%的征收标准率,计算出7亿3000万韩元的基准金额。考虑安全措施违规超过2年需加算一半金额,以及调查配合减免等调整后,最终裁定6亿韩元左右的罚款。

法院判定,个人信息保护委员会的罚款计算依据和适用方式在大多数方面是合理的。Digital Daesung主张与网站安全无关的“讲师编写教材销售额”、“EBS教材等其他外部销售额”、“组合产品销售额”等,也被判决包含在在线教育服务范畴内。

Daesung学院旗下的子公司Daesung学术开发研究所上个月又发生了个人信息泄露事故。对于有关一审判决的立场及预防再次发生措施的询问,Digital Daesung回应称:“正为防止个人信息泄露再次发生而竭尽全力。”

在各行各业个人信息泄露事故频发的当下,此次判决明确了仅依靠安装安全系统等形式上的措施,并不能满足安全保障要求。更具意义的是,法院对企业主张的扣除项目进行了保守判断,严格限制了被认定为与违法行为无关的营业额范围。安全事故前后的运营、管理、应对方式等均成为判断违法性的依据,并反映在罚款判定要素中。

东国大学信息保护研究生院教授Hwang Seok-jin表示:“越来越多的企业认为,对于在个人信息保护委员会会议上决定的罚款处分,应寻求法院的判断来获取明确依据。预计未来此类行政诉讼将持续存在,且上诉至大法院等高级审判的情况会相当多。”

本文由AI自动翻译。与韩语原文相比可能存在误差。
단독
강은경 기자

기술과 산업을 취재하고 씁니다.

gong@bizhankook.com
저작권자 ⓒ 비즈한국 무단전재 및 재배포 금지