개인정보위, 2K게임즈·부산금융진흥원에 총 3억 원 제재...안전한 인증수단 미비로 개인정보 유출·훼손

헬프데스크 해킹과 랜섬웨어 공격으로 12,906명·177명 정보 유출·훼손, 공표 조치도 병행

[한국정보기술신문] 개인정보보호위원회가 개인정보 보호 법규를 위반한 2개 사업자에 대해 총 3억 71만 원의 과징금 및 과태료를 부과했다. 개인정보보호위원회(위원장 송경희)는 12월 10일 제26회 전체회의를 열고, 미국 게임회사 2K Games, Inc.와 부산국제금융진흥원에 대한 제재를 의결했다고 11일 밝혔다.

2K Games는 2022년 9월 개인정보처리시스템 해킹으로 국내 이용자 약 12,906명의 개인정보가 유출된 사고로 과징금 및 과태료 2억 171만 원을 부과받았다. 해당 사업자는 컴퓨터 및 비디오게임을 제작하는 미국 소재 회사로, 게임 헬프데스크를 통해 이름, 이메일, IP 주소, 이용 게임명, 문의내용 등이 유출됐다.

2K게임즈, 관리자 계정 탈취로 400만 명 정보 유출

개인정보위 조사 결과, 해커는 2K 헬프데스크 관리직원의 계정정보를 알 수 없는 방법으로 획득해 관리자 페이지에 접근했다. 이를 통해 국내 정보주체 약 12,906명을 포함한 전세계 헬프데스크 이용자 400만 명의 개인정보를 유출했다.

2K는 2011년부터 헬프데스크를 운영하면서 개인정보취급자가 정보통신망을 통해 개인정보처리시스템에 접속할 때 아이디와 비밀번호 외에 안전한 인증수단을 추가로 적용해야 함에도 이를 소홀히 한 것으로 드러났다. 또한 2022년 9월 28일경 개인정보 유출을 인지하고도 정당한 사유 없이 24시간을 경과해 이용자에게 유출을 통지하고 개인정보위에 신고를 지연했다.

개정 전 개인정보 보호법에 따르면 24시간 내 유출사실을 신고하고 통지해야 했으나, 2K는 10월 6일에야 이용자에게 통지하고 10월 8일 개인정보위에 신고했다. 개인정보위는 2K에 과징금과 과태료를 부과하고, 처분받은 사실을 개인정보위 홈페이지에 공표하기로 했다.

부산금융진흥원, 랜섬웨어 공격으로 177명 정보 훼손

부산국제금융진흥원은 랜섬웨어 공격으로 임직원 등 177명의 개인정보가 훼손돼 과징금 및 과태료 9,900만 원을 부과받았다. 해커는 2024년 6월 22일부터 24일까지 부산국제금융진흥원이 운영하던 업무관리시스템에 1분당 최대 433회, 총 28,072회의 로그인을 시도해 접속에 성공했다.

로그인 이후 랜섬웨어를 실행해 서버 내 파일을 암호화하고 협박 메시지를 남겼다. 이 과정에서 주민등록번호 등 개인정보가 훼손돼 복구가 불가능한 상태가 됐다. 부산국제금융진흥원은 사고 당시 클라우드에 설치된 그룹웨어와 업무관리시스템 간 연계작업을 위해 업무관리시스템을 공인IP로 전환하면서 약 5일간 해커의 접근을 허용한 것으로 확인됐다.

개인정보위 조사 결과, 부산국제금융진흥원은 2020년 4월부터 내부 업무관리시스템을 설치하고 운영하면서 방화벽 등 별도 보안장비를 설치하거나 운용하지 않았다. 윈도우 운영체제 보안업데이트를 최신 상태로 유지하지 않았고, 주민등록번호를 암호화하지 않고 저장한 사실도 드러났다.

랜섬웨어 암호화도 '개인정보 훼손'으로 과징금 부과

이번 처분은 개인정보위가 랜섬웨어로 인해 개인정보가 암호화돼 처리가 불가능한 경우에 유출 여부가 불분명하더라도 정상적인 서비스 제공 여부 등을 기준으로 개인정보 훼손을 판단하고 과징금을 부과할 수 있다는 입장을 재확인했다는 점에서 의의가 있다.

개인정보 보호법 제29조는 유출 외에 분실, 도난, 위조, 변조, 훼손 등을 방지하기 위한 안전관리 의무를 규정하고 있으며, 제64조의2는 유출 외에 분실, 도난, 위조, 변조, 훼손 등에도 과징금을 부과할 수 있도록 하고 있다.

개인정보위는 개인정보 데이터베이스 등 주요 파일은 주기적으로 별도 백업하고 보관하는 등 각별한 주의가 필요하다고 강조했다. 또한 개인정보취급자가 정보통신망을 통해 관리자페이지 등 개인정보처리시스템에 접속할 때는 아이디와 비밀번호 외에 일회용 비밀번호(OTP) 등 안전한 인증수단을 이용해 접속하도록 해야 한다고 당부했다.

한국정보기술신문 정보보안분과 안서진 기자 news@kitpa.org