주메뉴바로가기본문바로가기
비즈한국 비즈한국

獨家
Daesung MyMac 113萬條個人資訊洩露,行政法院判決“6億韓元罰款合法”

本文由AI自動翻譯。與韓語原文相比可能存在誤差。  Read original in Korean →

[비즈한국] 隨著《個人資訊保護法》修訂後,多家收到鉅額罰款的企業接連提起行政訴訟,法院針對適用強化標準後的首個制裁案件作出了判決。關於線上教育網站“Daesung MyMac”的個人資訊洩露事件,法院認定個人資訊保護委員會作出的6億韓元左右罰款處分是合法的。法院判定,運營商Digital Daesung068930因未履行安全保障義務,導致約9.5萬名使用者的個人資訊被竊取。後續其他提起類似訴訟的企業是否會面臨同樣的結論,引發關注。

針對線上教育網站“Daesung MyMac”提起的關於個人資訊洩露事件罰款取消訴訟,法院判決個人資訊保護委員會作出的6億韓元左右罰款處分合法。圖片來源=韓聯社
針對線上教育網站“Daesung MyMac”提起的關於個人資訊洩露事件罰款取消訴訟,法院判決個人資訊保護委員會作出的6億韓元左右罰款處分合法。圖片來源=韓聯社

9.5萬名會員資訊洩露

經確認,Daesung學院旗下子公司Digital Daesung針對去年初發生的大規模個人資訊洩露事件,因不服個人資訊保護委員會作出的制裁處分而提起行政訴訟,近期被判敗訴。14日,首爾行政法院第14行政庭(審判長李尚德)在Digital Daesung針對個人資訊保護委員會提起的罰款處分取消訴訟中,判決原告敗訴。

法院表示:“難以認定被告透過分析IP地址等方式探測、應對個人資訊洩露企圖,或採取措施防止個人資訊透過個人資訊處理系統洩露,已履行了社會觀念上合理期待的安全保障措施,因此駁回原告的請求。”

今年1月,Daesung MyMac遭遇了“撞庫(Credential Stuffing)”攻擊以及網站公告欄內的“跨站指令碼(XSS,透過在瀏覽帖子時執行惡意指令竊取資訊的方式)”攻擊,導致約9.5萬名會員的個人資訊被竊取。

撞庫是指獲取已洩露的大量賬號密碼列表,利用自動化程式在目標網站進行隨機登入嘗試的攻擊手段。僅今年一年,GS Retail007070、Tmoney等企業也因類似攻擊被攻破。駭客在透過撞庫成功登入後,在Daesung MyMac的特定網頁內釋出了含有XSS指令的帖子。當員工點選閱讀該帖子時,駭客竊取了員工賬戶的會話資訊,進而導致9萬5171名會員的ID、部分遮蓋的姓名、電話號碼、電子郵件地址等個人資訊洩露。

位於首爾政府首爾辦公樓的個人資訊保護委員會。圖片來源=林俊善記者
位於首爾政府首爾辦公樓的個人資訊保護委員會。圖片來源=林俊善記者

個人資訊保護委員會在接到Digital Daesung的洩露申報後展開調查,兩個月後的3月認定Digital Daesung違反了《個人資訊保護法》中有關安全保障措施和個人資訊洩露通知等的義務,對其處以6億1300萬韓元罰款、330萬韓元過失罰款,並下達了公開處罰命令。委員會指出,由於該網站主要是青少年備考使用,理應對個人資訊洩露格外警惕,但管理上存在疏忽。當時Digital Daesung收集並持有的個人資訊多達113萬8000條(截至去年1月底)。

“駭客防禦措施不足”

Digital Daesung主張其已充分安裝並執行了探測和攔截外部入侵的系統,但該主張未被採納。XSS攻擊是典型的駭客技術之一,在網上極為頻繁。若能驗證輸入值中是否包含惡意指令,可在一定程度上預防,法院也對此進行了指正。獲得韓國網際網路振興院(KISA)資訊保護管理體系(ISMS)認證的Daesung MyMac雖安裝並執行了反DDoS、網路防火牆(UTM)、Web防火牆、資料庫訪問控制解決方案,並由SK Broadband提供安全監控服務,且在透過AhnLab探測到XSS攻擊後採取了攔截駭客IP等措施。

個人資訊保護委員會的指南中也提及,應從釋出文章階段起驗證輸入值,採取攔截措施以防止惡意指令註冊。但調查顯示,事發時該公告欄並未實施自動攔截XSS攻擊的策略,也未實施探測並攔截5分鐘內4026次異常登入嘗試的策略。

法院判決稱:“即便採取了探測後攔截IP等措施,這也僅是對已經發生的駭客事件的事後補救,不能被視為旨在預防或阻斷XSS攻擊本身的充分安全保障措施。”

對於公司方面提出的“考慮到網站特性,輸入值驗證程式可能導致錯誤,難以在現實中應用”的主張,法院指出:“可以設想透過負責人及時設定攔截例外等方式,靈活運用XSS自動攔截策略的折中方案。”

遭鉅額罰款的企業接連訴訟

Daesung MyMac事件是個人資訊保護法修正案施行、罰款負擔加重後,首次適用新標準的案例。違反個人資訊保護法產生的罰款,過去以“違法行為相關營業額的最高3%”為基準計算,但自2023年9月起擴大為“整體營業額的3%”。雖然排除了與違法行為無關的營業額,但舉證責任在企業。

同年11月,Golfzon215000(75億韓元)和SK Stoa(14億韓元)等也發生了大規模個人資訊洩露,個人資訊保護委員會分別於去年5月和今年1月作出行政處罰。Golfzon遭受的也是與Digital Daesung類似的撞庫攻擊,SK Stoa則遭受了勒索軟體攻擊。

上個月Daesung學院旗下子公司再次發生了個人資訊洩露事件。圖片來源=Daesung MyMac官網
上個月Daesung學院旗下子公司再次發生了個人資訊洩露事件。圖片來源=Daesung MyMac官網

針對Daesung MyMac,個人資訊保護委員會在近3年年均銷售額中排除了與違規行為無關的銷售額,乘以0.68%的徵收標準率,計算出7億3000萬韓元的基準金額。考慮安全措施違規超過2年需加算一半金額,以及調查配合減免等調整後,最終裁定6億韓元左右的罰款。

法院判定,個人資訊保護委員會的罰款計算依據和適用方式在大多數方面是合理的。Digital Daesung主張與網站安全無關的“講師編寫教材銷售額”、“EBS教材等其他外部銷售額”、“組合產品銷售額”等,也被判決包含在線上教育服務範疇內。

Daesung學院旗下的子公司Daesung學術開發研究所上個月又發生了個人資訊洩露事故。對於有關一審判決的立場及預防再次發生措施的詢問,Digital Daesung回應稱:“正為防止個人資訊洩露再次發生而竭盡全力。”

在各行各業個人資訊洩露事故頻發的當下,此次判決明確了僅依靠安裝安全系統等形式上的措施,並不能滿足安全保障要求。更具意義的是,法院對企業主張的扣除專案進行了保守判斷,嚴格限制了被認定為與違法行為無關的營業額範圍。安全事故前後的運營、管理、應對方式等均成為判斷違法性的依據,並反映在罰款判定要素中。

東國大學資訊保護研究生院教授Hwang Seok-jin表示:“越來越多的企業認為,對於在個人資訊保護委員會會議上決定的罰款處分,應尋求法院的判斷來獲取明確依據。預計未來此類行政訴訟將持續存在,且上訴至大法院等高階審判的情況會相當多。”

本文由AI自動翻譯。與韓語原文相比可能存在誤差。
단독
강은경 기자

기술과 산업을 취재하고 씁니다.

gong@bizhankook.com
저작권자 ⓒ 비즈한국 무단전재 및 재배포 금지