개인정보보호위원회는 지난 10일 열린 제26회 전체회의에서 개인정보 보호 법규를 위반한 2개 사업자에 총 3억 71만 원의 과징금과 과태료를 부과하고, 각 사업자 홈페이지에 처분 결과를 공표하도록 의결했다고 11일 밝혔다. 

제재 대상은 미국 소재 컴퓨터 및 비디오게임 회사인 2K Games, Inc.와 금융정책 관련 조사·연구 및 정책개발을 수행하는 비영리 사단법인 부산국제금융진흥원이다.

 사업자별 위반 및 시정조치 내역/자료제공=개인정보보호위원회

개인정보위는 유출 신고를 접수한 뒤 각 사업자를 대상으로 조사를 진행했으며, 그 결과 2K Games는 2022년 9월 헬프데스크 시스템이 해킹돼 국내 이용자 약 1만2906명을 포함해 전 세계 약 400만 명의 개인정보가 유출된 사실을 인지하고도 법정 신고·통지 기한을 준수하지 않은 것으로 드러났다. 

해커는 헬프데스크 관리 직원의 계정 정보를 탈취해 관리자 페이지에 접근했으며, 그 과정에서 이름, 이메일, IP 주소, 이용 게임명, 문의 내용 등 개인정보가 대규모로 유출됐다.

개인정보위 조사에 따르면, 2K Games는 2011년부터 운영해 온 헬프데스크 시스템에서 개인정보처리자가 정보통신망을 통해 접속할 때 아이디와 비밀번호 외에 추가 인증수단을 적용해야 했음에도 이를 이행하지 않았다. 

또한, 당시 기준 24시간 이내에 이용자 통지 및 당국 신고를 해야 했음에도, 유출 인지 시점인 2022년 9월 28일 이후 이용자 통지(10월 6일)와 신고(10월 8일)를 정당한 사유 없이 지연한 사실이 확인됐다. 

개인정보위는 이에 따라 2K Games에 대해 과징금과 과태료 부과 및 공표 조치를 결정했다. 한편 현재는 2023년 9월 개정된 관련 법령에 따라 신고·통지 기한이 72시간으로 조정돼 있다.

부산국제금융진흥원은 2024년 6월 22일부터 24일 사이에 발생한 랜섬웨어 공격으로 내부 업무관리시스템의 임직원 등 177명 개인정보가 포함된 파일이 암호화돼 복구가 불가능한 상태가 된 것으로 조사됐다. 

공격자는 1분당 최대 433회, 총 2만8072회의 로그인 시도를 통해 시스템에 침입한 뒤 랜섬웨어를 실행해 서버 내 파일을 암호화하고 협박 메시지를 남겼다. 해당 기관은 당시 클라우드 기반 그룹웨어와 업무관리시스템 간 연계작업을 위해 시스템을 공인 IP로 전환해 운영하면서 약 5일간 외부 접근이 가능한 상태였던 것으로 확인됐다.

조사 결과, 부산국제금융진흥원은 2020년 4월부터 업무관리시스템을 운영하면서 방화벽 등 필수 보안장비를 설치·운용하지 않았고, 운영체제 보안 업데이트도 최신 상태로 유지하지 않았다. 

또한, 주민등록번호를 암호화하지 않고 저장한 사실이 확인되면서 관련 법령상 안전조치 의무를 위반한 것으로 판단됐다. 개인정보위는 개인정보가 정상적으로 처리될 수 없을 정도로 훼손된 점을 고려해 과징금과 과태료 부과를 결정했다. 

이는 랜섬웨어 공격으로 개인정보가 암호화돼 유출 여부가 명확하지 않더라도, 정상적 서비스 제공 가능성을 기준으로 개인정보 훼손을 인정하고 제재를 적용할 수 있다는 기존 입장을 재확인한 사례로 평가된다.

개인정보위는 이번 처분을 통해 주요 개인정보 데이터베이스와 관련 파일의 정기적 백업·보관의 중요성을 강조하고, 정보통신망을 통한 개인정보처리시스템 접속 시 일회용 비밀번호(OTP) 등 안전한 인증수단을 반드시 적용해야 한다고 밝혔다. 

아울러 기본적 안전조치 준수가 개인정보 유출 및 훼손 사고 예방의 핵심 요소임을 거듭 당부했다.

[경제엔미디어=장민철 기자]