文章总结： 韩国监管机构对三家因安全薄弱导致数据泄露的企业开出近48亿韩元罚单。暴露问题包括缺乏访问控制与弱加密、明文存储、未修复Web漏洞及迟报漏报。建议企业强化权限管控与日志审计，采用强加密算法，定期排查漏洞，严格遵守数据销毁周期，并在事件后及时上报及通知用户以防范二次风险。 综合评分： 72 文章分类： 数据泄露,漏洞分析,安全运营,政策法规

韩国个人信息保护委员会对3家企业开罚单：罚款和罚金合计逾47.9亿韩元

安全学习那些事儿

2026年4月26日 07:10 上海

在小说阅读器读本章

去阅读

2026年4月22日，韩国个人信息保护委员会决定，对KS Human Employment Info、Duoinfo、Geumneung Park Cemetery等3家违反个人信息保护法规的企业予以行政处罚，合计处以47.882亿韩元罚款和1740万韩元罚金，并责令整改及公示。

监管部门认定，上述企业因安全管理薄弱导致个人信息泄露，部分企业还存在在缺乏法律依据的情况下收集、保存或以明文方式处理居民登记号等违规行为。

其中，KS Human Employment Info被处以35.37亿韩元罚款和420万韩元罚金。监管部门查明，黑客在获取该公司个人信息处理系统管理员账号信息后，于2025年4月15日登录管理页面，下载并泄露了咨询师、总部员工及求职者(培训生)等共40875万人的个人信息。

泄露内容包括咨询师及员工在入职和在职期间提交的居民登记簿誊本、身份证复印件、存折复印件、亲属关系证明等，不仅涉及本人信息，还包含大量家庭成员个人信息。

调查还显示，黑客随后将相关信息发布到暗网，并试图交易其掌握的数据库。KS Human Employment Info在同一套个人信息处理系统中同时运行一般人事管理和呼叫中心运营功能，却未通过IP限制等方式控制访问权限，也未部署安全接入或认证措施，导致外部仅凭账号和密码即可不受限制访问系统。

除罚款和罚金外，韩国个人信息保护委员会还责令KS Human Employment Info定期检查个人信息处理系统访问记录及个人信息下载情况，并制定和落实个人信息销毁指引。

婚恋信息服务企业Duoinfo因发生正式会员个人信息大规模泄露事件，被处以11.97亿韩元罚款和1320万韩元罚金。

监管部门表示，黑客于2025年1月通过互联网入侵Duoinfo员工办公电脑并植入恶意代码，在获取数据库服务器账号信息后登录会员数据库服务器，下载并泄露了全部正式会员、共42.7464万人的个人信息。

调查结果显示，Duoinfo在访问存储正式会员个人信息的会员数据库时，未设置认证失败达到一定次数后的访问限制等措施;同时，对居民登记号和密码采用不安全的加密算法，违反了个人信息安全保护义务。

此外，Duoinfo在正式会员注册过程中，在缺乏单独法律依据的情况下收集并保存居民登记号;对于已超过个人信息处理方针所载5年保存期限的正式会员信息，也未按规定销毁，涉及29.8566万条数据。

韩国个人信息保护委员会还指出，Duoinfo在确认泄露事实后，无正当理由超过72小时才进行报告，存在迟报问题。考虑到婚介机构业务特点，此类企业不仅掌握会员的基本身份信息，还收集学历、宗教、工作等大量涉及个人生活和倾向的信息;但在相关信息泄露后，Duoinfo截至目前仍未向个人信息主体通报泄露事实，二次风险防范明显不足。

Geumneung Park Cemetery则因其网站管理费查询及缴纳页面存在参数篡改漏洞，被黑客利用后导致5373名用户的个人信息泄露，涉及姓名、居民登记号和手机号。

调查显示，Geumneung Park Cemetery未充分排查并处置网站参数篡改漏洞，通过互联网传输个人信息时也未采用加密通信，同时以明文方式保存居民登记号等信息，违反了个人信息保护义务。

韩国个人信息保护委员会最终对Geumneung Park Cemetery处以5420万韩元罚款，并责令其加强个人信息处理系统漏洞排查、加密等安全管理措施，防止类似泄露事件再次发生。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全学习那些事儿 《韩国个人信息保护委员会对3家企业开罚单：罚款和罚金合计逾47.9亿韩元》