개인정보위, 개인정보 보호 법규 위반 2개 사업자 제재

- 개인정보처리시스템에 안전한 인증수단을 통한 접속 및 보안장비 설치·운영 필요

  개인정보보호위원회(위원장 송경희, 이하 '개인정보위')는 12월 10일(수) 제26회 전체회의를 열고, 개인정보 보호 법규를 위반한 2개 사업자*에 대해 총 3억 71만 원의 과징금 및 과태료를 부과하고, 해당 사업자 홈페이지에 결과를 공표할 것을 의결하였다.

  * ① 2K Games, Inc. : 미국 소재 컴퓨터 및 비디오게임 회사② (사)부산국제금융진흥원 : 금융정책 관련 조사연구·정책개발 업무를 하는 비영리 사단법인

  개인정보위는 유출신고에 따라 관련 조사에 착수하였으며, 각 사업자에 대한 구체적인 위반 내용과 처분 결과는 다음과 같다.

< 2K Games, Inc. : 과징금 및 과태료 2억 171만 원 부과, 공표 >

  2K Games, Inc.(이하 '2K')는 개인정보처리시스템 해킹으로 게임 헬프데스크를 이용하는 국내 정보주체 약 12,906명의 개인정보*가 유출된 사실을 인지('22.9.28.)하고 개인정보위에 유출신고('22.10.8.)하였다. 

 * 이름, 이메일, IP 주소, 이용 중인 게임명, 문의내용 등

  해커는 2K 헬프데스크 관리직원의 계정정보를 알 수 없는 방법으로 획득하여 관리자 페이지에 접근하고, 국내 정보주체 약 12,906명을 포함한 전세계 헬프데스크 이용자 4백만 명의 개인정보를 유출하였다.

  개인정보위 조사 결과, 2K는 2011년부터 헬프데스크를 운영하면서, 개인정보취급자가 정보통신망을 통해 개인정보처리시스템에 접속 시 아이디, 비밀번호 이외에 안전한 인증수단을 추가 적용하여야 함에도 이를 소홀히 한 것으로 나타났다. 

  또한, 개정 전 개인정보 보호법에 따르면 24시간 내 유출사실을 신고·통지하도록 되어 있었으나, 2K는 '22.9.28.경 개인정보 유출을 인지하고도 정당한 사유 없이 24시간을 경과하여 이용자에게 유출 통지('22.10.6.) 및 개인정보위에 신고('22.10.8.)를 지연하였다.

 ※ 현재는 '23. 9. 개정 보호법에 따라 개인정보처리자에게 72시간 내에 유출 신고·통지 규정 

  이에 개인정보위는 2K에 과징금과 과태료를 부과하고, 처분받은 사실을 개인정보위 홈페이지에 공표하기로 하였다. 

< (사)부산국제금융진흥원 : 과징금 및 과태료 9,900만 원 부과 >

  해커는 '24.6.22.∼24. 동안 (사)부산국제금융진흥원이 운영 중이던 업무관리시스템*에 1분당 최대 433회(총 28,072회)의 로그인을 시도하여 로그인하였고, 로그인 이후 랜섬웨어를 실행하여, 서버 내 파일을 암호화한 후 랜섬노트(협박 메시지)를 남겼다.

  * (사)부산국제금융진흥원은 사고 당시, 클라우드에 설치된 그룹웨어와 업무관리시스템 간 연계작업을 위해 업무관리시스템을 공인IP로 전환·구성하면서 약 5일간 해커의 접근을 허용

  (사)부산국제금융진흥원이 운영 중이던 업무관리시스템은 임직원 등 177명의 개인정보가 포함되어 있었으며, 랜섬웨어 공격으로 주민등록번호 등 개인정보가 훼손*되어 복구가 불가능한 상태가 되었다. 

  * 훼손: 조작, 일부 삭제 또는 변경하여 본래 개인정보의 특성, 효용 및 사회적 가치를 손상 또는 침해행위

  개인정보위 조사 결과, (사)부산국제금융진흥원은 2020년 4월부터 내부 업무관리시스템을 설치·운영하면서 방화벽 등 별도 보안장비를 설치·운용하지 않았다. 또한 윈도우 운영체제 보안업데이트를 최신 상태로 유지하지 않았고, 주민등록번호를 암호화하지 않고 저장한 사실도 확인되었다. 

  이에 따라 개인정보위는 안전조치 의무 위반으로 개인정보가 훼손된 (사)부산국제금융진흥원에 과징금과 과태료를 부과하기로 하였다.

  이번 처분은 개인정보위가 랜섬웨어로 인해 개인정보가 암호화되어 처리가 불가능한 경우에 유출 여부가 불분명하다 하더라도, '정상적인 서비스 제공 여부 등'을 기준으로 '개인정보 훼손'을 판단하고, 과징금을 부과 처분한다는 입장을 재확인했다는 점에서 의의가 있다.

  ※ 보호법 제29조는 유출 외 분실·도난·위조·변조·훼손 등 방지를 위한 안전관리 의무 규정, 제64조의2는 유출 외 분실·도난·위조·변조·훼손 등에도 과징금 부과 가능

  이번 조사·처분과 관련하여 개인정보위는 개인정보 데이터베이스 등 주요 파일은 주기적으로 별도 백업·보관하는 등 각별한 주의가 필요하다고 강조했다.

  아울러, 개인정보취급자가 정보통신망을 통해 관리자페이지 등 개인정보처리시스템에 접속할 때에는 아이디와 비밀번호 외에 일회용 비밀번호(OTP) 등 안전한 인증수단을 이용해 접속하도록 해야 한다고 개인정보위는 당부했다.

* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

- 담당자 : 조사1과 신혜영(02-2100-3120), 도혜원(02-2100-3117)

“이 자료는 개인정보보호위원회의 보도자료를 전재하여 제공함을 알려드립니다.”