개인정보보호위원회(이하 개인정보위)는 7월 23일 제16회 전체회의를 열어 개인정보 보호법을 위반한 4개 사업자에 대해 총 5억 원이 넘는 과징금과 과태료를 부과하고, 관련 조치 내용을 공표하도록 명령했다. 

대상 사업자는 SSL-VPN 취약점을 악용한 해킹과 랜섬웨어 공격으로 개인정보가 유출·삭제된 해성디에스와 전남테크노파크, 그리고 주민등록번호 처리 제한 의무를 위반한 쿠카게임즈와 주식회사 잡보스이다.

SSL-VPN 취약점 악용 해성디에스 3억 4천만 원 과징금

해성디에스는 지난해 10월 11일부터 29일까지 신원 미상의 해커가 회사가 운영하던 SSL-VPN 장비의 알려진 취약점을 악용해 VPN 접속 후 사내망에 침입, 임직원·주주·협력사 직원 등 7만3975명의 개인정보를 유출하고 랜섬웨어를 배포·감염시킨 사실이 확인됐다.

조사 결과, 해당 취약점은 이미 6월 12일 장비 제조사 및 한국인터넷진흥원이 보안 업데이트 필요성을 공지했으나 해성디에스는 이를 방치했고, 일부 시스템에는 백신 미동작 등 보안관리도 소홀했던 것으로 드러났다. 

개인정보위는 안전조치 의무 위반으로 3억4300만 원 과징금을 부과하고 홈페이지에 처분 결과를 공표하도록 명령했다.

전남테크노파크, 랜섬웨어 공격 후 개인정보 삭제 및 늑장 신고

전남테크노파크는 지난해 11월 23일 해커가 운영하는 과학기술정보시스템 데이터베이스(DB)에 무단 접근해 약 1200명의 개인정보를 모두 삭제하고 금전 요구 협박 메시지를 남긴 사건이 발생했다. 

조사는 처리시스템 계정에 유추하기 쉬운 아이디·비밀번호 사용, 암호화되지 않은 비밀번호 저장, 접속 권한 제한 미비, 접속 기록 관리 부실 등 다수의 보안 취약점이 원인임을 밝혔다.

더구나 테크노파크는 해킹 사실을 인지하고도 법정 신고 기간인 72시간을 넘겨 한 달 뒤 신고하는 등 개인정보 유출 신고 의무도 위반했다. 

개인정보위는 과징금 9800만 원과 과태료 360만 원을 부과하고 결과를 공표토록 했다.

주민등록번호 처리 제한 위반한 쿠카게임즈·잡보스도 제재

주민등록번호는 개인정보보호법상 대통령령 이상 법령에 근거한 예외적 경우에만 처리 가능하다. 그러나 쿠카게임즈는 모바일 게임 이벤트 당첨자 선별을 위해 41건의 주민등록번호를 수집해 법 위반으로 과징금 9370만 원과 시정명령을 받았다.

잡보스는 고용주와 피고용자 간 리뷰 게시를 위한 웹사이트에서 575명의 주민등록번호를 적법 근거 없이 수집했고, 주민등록번호 없이는 리뷰 작성 및 검색이 불가능하도록 시스템을 운영했다. 재정 상태가 좋지 않아 과징금은 부과되지 않았지만 시정명령과 함께 대표자 벌금 1천만 원이 선고됐다.

개인정보위, “보안장비 업데이트 및 주민등록번호 처리 주의 당부”

이번 조치들은 최근 제조업 등에서 랜섬웨어 및 개인정보 유출이 증가하는 가운데, SSL-VPN 등 보안장비의 취약점 점검과 신속한 보안 업데이트가 필수임을 다시 한번 보여준다. 

또한, 주민등록번호는 정보 주체 피해가 큰 만큼 법적 근거 없는 수집·처리를 엄격히 금지하고 있어, 관련 사업자들의 각별한 주의가 요구된다.

개인정보위는 “모든 개인정보처리자는 운영 중인 서비스에 대해 주기적으로 취약점 점검과 보안 업데이트를 실시하고, 주요 개인정보는 별도 백업·보관하며 주민등록번호 등 고유식별정보는 법령에 따라 엄격히 제한된 경우에만 처리해야 한다”고 강조했다.

[경제엔미디어=장민철 기자]