[비즈한국] Di tengah banyaknya perusahaan yang mengajukan gugatan banding setelah dijatuhi denda bernilai ratusan juta won sejak revisi Undang-Undang Perlindungan Informasi Pribadi, pengadilan akhirnya mengeluarkan putusan pertama terkait sanksi dengan standar yang diperketat. Mengenai kebocoran data pribadi di situs kursus daring ‘Daesung MyMac’, pengadilan memutuskan bahwa tindakan Komisi Perlindungan Informasi Pribadi (PIPC) yang menjatuhkan denda sebesar 600 juta won adalah sah. Hakim menilai bahwa operator perusahaan Digital Daesung068930 tidak memenuhi kewajiban tindakan keamanan, sehingga membuka celah yang memungkinkan data pribadi sekitar 95.000 orang dicuri tanpa izin. Perhatian kini tertuju pada apakah kesimpulan yang sama akan dijatuhkan pada perusahaan lain yang mengajukan gugatan serupa.

Kebocoran Informasi 95.000 Anggota
Dikonfirmasi bahwa Digital Daesung, afiliasi dari Daesung Academy, baru saja kalah dalam gugatan administratif setelah menentang sanksi yang diberikan oleh Komisi Perlindungan Informasi Pribadi terkait insiden kebocoran data skala besar yang terjadi awal tahun lalu. Pada tanggal 14, Pengadilan Administratif Seoul Divisi 14 (Ketua Hakim Lee Sang-deok) memutuskan menolak gugatan pembatalan denda yang diajukan Digital Daesung terhadap Komisi Perlindungan Informasi Pribadi.
Majelis hakim menyatakan, “Sulit untuk menganggap bahwa perusahaan telah melakukan tindakan pengamanan yang diharapkan secara wajar menurut norma sosial, seperti mendeteksi dan merespons upaya kebocoran informasi melalui analisis alamat IP, atau mengambil tindakan pada sistem pemrosesan informasi pribadi untuk mencegah kebocoran,” dan menambahkan, “Oleh karena itu, kami menolak gugatan penggugat.”
Pada bulan Januari, Daesung MyMac mengalami insiden di mana informasi pribadi sekitar 95.000 anggotanya dicuri setelah menerima serangan ‘Credential Stuffing’ dan serangan ‘Cross-Site Scripting (XSS; metode pencurian informasi melalui eksekusi perintah berbahaya saat membaca postingan)’ pada papan pengumuman di situs webnya.
Credential Stuffing adalah teknik serangan di mana peretas menggunakan daftar ID dan kata sandi curian dalam jumlah besar, lalu menggunakan program otomatis untuk mencoba masuk ke situs target secara acak. Tahun ini saja, GS Retail007070, T-Money, dan lainnya telah ditembus melalui serangan serupa. Peretas berhasil masuk ke akun anggota menggunakan Credential Stuffing, lalu membuat postingan berisi perintah XSS di situs tertentu di Daesung MyMac. Ketika seorang karyawan membuka postingan tersebut, informasi sesi akun karyawan tersebut dicuri oleh peretas, yang menyebabkan kebocoran ID, nama (sebagian disamarkan), nomor telepon, dan alamat email dari 95.171 anggota.

Komisi Perlindungan Informasi Pribadi, yang memulai penyelidikan setelah laporan kebocoran dari Digital Daesung, menjatuhkan denda sebesar 613 juta won, denda administratif 3,3 juta won, dan perintah pengumuman publik dua bulan kemudian pada bulan Maret, dengan alasan bahwa Digital Daesung melanggar kewajiban tindakan keamanan dan kewajiban pemberitahuan kebocoran data berdasarkan UU Perlindungan Informasi Pribadi. Mengingat situs tersebut banyak digunakan oleh remaja yang sedang bersiap menghadapi ujian masuk universitas, poin yang disorot adalah kelalaian dalam pengelolaan data pribadi yang seharusnya dijaga dengan sangat hati-hati. Saat itu, jumlah data pribadi yang dikumpulkan dan disimpan oleh Digital Daesung mencapai 1,138 juta data (per akhir Januari tahun lalu).
“Tindakan Pencegahan Peretasan Tidak Cukup”
Argumen Digital Daesung bahwa mereka telah memasang dan mengoperasikan sistem untuk mendeteksi dan memblokir intrusi eksternal dengan cukup tidak diterima. Serangan XSS adalah salah satu teknik peretasan yang representatif dan sering dicoba secara daring. Jika nilai input diverifikasi untuk melihat apakah mengandung perintah berbahaya, serangan ini dapat dicegah sampai tingkat tertentu, dan pengadilan pun menyoroti hal ini. Daesung MyMac, yang telah memperoleh sertifikasi Sistem Manajemen Keamanan Informasi (ISMS) dari Korea Internet & Security Agency (KISA), telah memasang dan mengoperasikan anti-DDoS, firewall jaringan (UTM), firewall web, solusi kontrol akses DB, serta menerima layanan pemantauan keamanan dari SK Broadband. Setelah mendeteksi serangan XSS melalui AhnLab, mereka telah mengambil tindakan seperti memblokir IP peretas.
Buku panduan Komisi Perlindungan Informasi Pribadi juga menyebutkan langkah-langkah seperti memverifikasi nilai input sejak tahap penulisan postingan untuk memblokir perintah berbahaya agar tidak terdaftar. Namun, terungkap bahwa pada saat kejadian, kebijakan untuk memblokir serangan XSS secara otomatis tidak diterapkan pada papan pengumuman, dan kebijakan untuk mendeteksi serta memblokir upaya masuk yang tidak normal sebanyak 4.026 kali dalam 5 menit juga tidak dilaksanakan.
Majelis hakim memutuskan, “Meskipun perusahaan telah mengambil tindakan seperti memblokir IP setelah mendeteksi serangan, itu hanyalah langkah pemulihan pasca-peretasan yang sudah terjadi dan tidak dapat dianggap sebagai tindakan pengamanan yang memadai untuk mencegah atau memblokir serangan XSS itu sendiri.”
Terkait klaim perusahaan bahwa verifikasi nilai input sulit diterapkan secara realistis karena dapat menyebabkan kesalahan pada situs, pengadilan menunjukkan, “Bisa dipertimbangkan solusi kompromi di mana penanggung jawab dapat mengoperasikan kebijakan pemblokiran otomatis XSS secara tepat dengan cara menetapkan pengecualian pemblokiran secara cepat.”
Rentetan Gugatan Perusahaan yang Terkena Denda Ratusan Juta Won
Kasus Daesung MyMac merupakan contoh pertama di mana standar baru diterapkan setelah berlakunya amandemen UU Perlindungan Informasi Pribadi yang meningkatkan beban denda. Denda akibat pelanggaran UU Perlindungan Informasi Pribadi sebelumnya dihitung berdasarkan ‘maksimal 3% dari pendapatan yang terkait dengan tindakan melanggar hukum’, namun sejak September 2023 diperluas menjadi ‘3% dari total pendapatan’. Meskipun pendapatan yang tidak terkait dengan tindakan melanggar hukum dikecualikan, beban pembuktian ada pada perusahaan.
Pada bulan November tahun yang sama, kebocoran data pribadi skala besar terjadi di Golfzon215000 (7,5 miliar won) dan SK Stoa (1,4 miliar won), namun keputusan administratif Komisi Perlindungan Informasi Pribadi masing-masing baru ditetapkan pada bulan Mei tahun lalu dan Januari tahun ini. Golfzon mengalami serangan Credential Stuffing mirip dengan Digital Daesung, sementara SK Stoa mengalami serangan ransomware.

Dalam kasus Daesung MyMac, Komisi Perlindungan Informasi Pribadi menghitung 730 juta won sebagai dasar denda dengan mengecualikan pendapatan yang tidak terkait dengan tindakan pelanggaran dari rata-rata pendapatan tahunan selama tiga tahun terakhir, lalu mengalikan dengan tarif 0,68%. Setelah penyesuaian seperti penambahan nilai karena masa pelanggaran tindakan keamanan lebih dari 2 tahun dan pengurangan karena kerja sama dalam penyelidikan, denda akhir ditetapkan di kisaran 600 juta won.
Pengadilan menilai bahwa dasar perhitungan dan penerapan denda oleh Komisi Perlindungan Informasi Pribadi sebagian besar sudah tepat. Pendapatan yang diklaim Digital Daesung tidak terkait dengan keamanan situs, seperti ‘pendapatan buku ajar karya pengajar’, ‘pendapatan penjualan pihak ketiga seperti buku EBS’, dan ‘pendapatan produk bundling’, juga diputuskan termasuk dalam lingkup layanan kursus daring.
Daesung Academy kembali mengalami insiden kebocoran data pribadi bulan lalu di afiliasi Daesung Academic Development Institute yang menyediakan buku ajar. Saat diminta tanggapan mengenai putusan tingkat pertama dan langkah pencegahan, pihak Digital Daesung menyampaikan, “Kami sedang melakukan yang terbaik untuk mencegah terulangnya kebocoran data pribadi.”
Di tengah situasi saat ini di mana kecelakaan kebocoran data pribadi terus terjadi di berbagai bidang, putusan ini memperjelas bahwa langkah formal saja, seperti pemasangan sistem keamanan, tidak mencukupi untuk memenuhi kewajiban pengamanan. Hal yang paling signifikan adalah keputusan ini bermakna karena menilai secara konservatif item pengecualian pendapatan yang diajukan perusahaan, serta membatasi ruang bagi pendapatan yang dianggap tidak terkait dengan tindakan melanggar hukum. Operasi, manajemen, serta cara penanganan sebelum dan sesudah insiden keamanan juga tercermin dalam dasar pertimbangan hukum dan faktor penentuan denda.
Hwang Seok-jin, profesor di Graduate School of Information Security, Dongguk University, mengatakan, “Semakin banyak perusahaan yang ingin menyerahkan dasar yang jelas mengenai sanksi denda yang diputuskan di ruang rapat Komisi Perlindungan Informasi Pribadi kepada penilaian pengadilan. Tampaknya jenis gugatan administratif seperti ini akan terus berlanjut di masa depan, dan cukup banyak yang kemungkinan akan berlanjut hingga tingkat banding seperti Mahkamah Agung.”