개인정보보호위원회
개인정보보호위원회는 12월 10일 제26회 전체회의를 열고, 개인정보 보호 법규를 위반한 2개 사업자에 대해 총 3억 71만 원의 과징금 및 과태료를 부과하고, 해당 사업자 홈페이지에 결과를 공표할 것을 의결했다.
개인정보위는 유출신고에 따라 관련 조사에 착수했으며, 각 사업자에 대한 구체적인 위반 내용과 처분 결과는 다음과 같다.
2K Games, Inc.는 개인정보처리시스템 해킹으로 게임 헬프데스크를 이용하는 국내 정보주체 약 12,906명의 개인정보가 유출된 사실을 인지(2022년 9월 28일)하고 개인정보위에 유출신고(2022년 10월 8일)했다.
해커는 2K 헬프데스크 관리직원의 계정정보를 알 수 없는 방법으로 획득하여 관리자 페이지에 접근하고, 국내 정보주체 약 12,906명을 포함한 전세계 헬프데스크 이용자 4백만 명의 개인정보를 유출했다.
개인정보위 조사 결과, 2K는 2011년부터 헬프데스크를 운영하면서, 개인정보취급자가 정보통신망을 통해 개인정보처리시스템에 접속 시 아이디, 비밀번호 이외에 안전한 인증수단을 추가 적용하여야 함에도 이를 소홀히 한 것으로 나타났다.
또한, 개정 전 개인정보 보호법에 따르면 24시간 내 유출사실을 신고·통지하도록 되어 있었으나, 2K는 2022년 9월 28일경 개인정보 유출을 인지하고도 정당한 사유 없이 24시간을 경과하여 이용자에게 유출 통지(2022년 10월 6일) 및 개인정보위에 신고(2022년 10월 8일)를 지연했다.
이에 개인정보위는 2K에 과징금과 과태료를 부과하고, 처분받은 사실을 개인정보위 홈페이지에 공표하기로 했다.
해커는 2024년 6월 22일 ∼ 24일 동안 (사)부산국제금융진흥원이 운영 중이던 업무관리시스템에 1분당 최대 433회(총 28,072회)의 로그인을 시도하여 로그인했고, 로그인 이후 랜섬웨어를 실행하여, 서버 내 파일을 암호화한 후 랜섬노트(협박 메시지)를 남겼다.
(사)부산국제금융진흥원이 운영 중이던 업무관리시스템은 임직원 등 177명의 개인정보가 포함되어 있었으며, 랜섬웨어 공격으로 주민등록번호 등 개인정보가 훼손되어 복구가 불가능한 상태가 됐다.
개인정보위 조사 결과, (사)부산국제금융진흥원은 2020년 4월부터 내부 업무관리시스템을 설치·운영하면서 방화벽 등 별도 보안장비를 설치·운용하지 않았다. 또한 윈도우 운영체제 보안업데이트를 최신 상태로 유지하지 않았고, 주민등록번호를 암호화하지 않고 저장한 사실도 확인됐다.
이에 따라 개인정보위는 안전조치 의무 위반으로 개인정보가 훼손된 (사)부산국제금융진흥원에 과징금과 과태료를 부과하기로 했다.
이번 처분은 개인정보위가 랜섬웨어로 인해 개인정보가 암호화되어 처리가 불가능한 경우에 유출 여부가 불분명하다 하더라도, ‘정상적인 서비스 제공 여부 등’을 기준으로 ‘개인정보 훼손’을 판단하고, 과징금을 부과 처분한다는 입장을 재확인했다는 점에서 의의가 있다.
이번 조사·처분과 관련하여 개인정보위는 개인정보 데이터베이스 등 주요 파일은 주기적으로 별도 백업·보관하는 등 각별한 주의가 필요하다고 강조했다.
아울러, 개인정보취급자가 정보통신망을 통해 관리자페이지 등 개인정보처리시스템에 접속할 때에는 아이디와 비밀번호 외에 일회용 비밀번호(OTP) 등 안전한 인증수단을 이용해 접속하도록 해야 한다고 개인정보위는 당부했다.