개보위, 개인정보 보호 위반 '해성디에스‧전남테크노파크'에 4.4억 철퇴

[사진=개인정보보호위원회]

개인정보보호위원회가 개인정보 보호 법규 위반 업체인 해성디에스와 전남테크노파크에 총 4억 4460만원의 과징금·과태료를 부과했다.
 
개보위는 전날 제16회 전체회의를 열고 이러한 사안을 확정했다고 24일 밝혔다.
 
반도체 부품 제조사인 ‘해성디에스’에는 과징금 3억4300만원을 부과하고 홈페이지 공표 명령을 내렸다. 이 업체는 앞서 한국인터넷진흥원 등을 통해 SSL-VPN(암호화 연결 제공하는 가상 사설망 기술) 장비서 취약점이 발견됐단 사실을 알고도 별다른 조치를 취하지 않았다.
 
이로 인해 7만3975명의 개인정보(주주 정보, 임직원 정보, 협력사 직원 정보)가 외부로 유출되고, 내부 파일서버가 랜섬웨어(문서 암호화를 통해 돈을 요구하는 악성 프로그램)에 감염됐다.
 

해커가 유출을 진행했던 당시 일부 시스템은 백신 동작 이력이 존재하지 않는 등 운영 소홀 사실도 확인됐다.
 
전남테크노파크에는 과징금 9800만원, 과태료 360만원을 각각 부과했다. 마찬가지로 공표 명령도 함께 내렸다.
 
테크노파크는 처리시스템 취급자 계정에 유추하기 쉬운 아이디와 비밀번호를 사용했다. 이용자 비밀번호도 안전하지 않은 암호화(MD5) 방식으로 저장하고 로그인 시 전송하는 비밀번호는 암호화하지 않은 사실이 확인됐다.
 
해커를 이를 악용해 테크노파크가 운영하는 전남과학기술정보시스템 내 개인정보처리시스템에 권한 없이 접근해 데이터베이스(DB)를 모두 삭제했고 금전을 요구하는 랜섬노트(협박 메시지)도 남겼다. 공격 받던 당시 처리시스템에는 약 1200여 명의 개인정보가 저장돼 있었으며 성명, 휴대전화번호, 이메일주소, 소속기관 정보 등이 포함돼 있었다.
 
테크노파크는 해커가 불법 접근해 개인정보를 훼손한 사실을 인지한 뒤, 정당한 사유 없이 72시간 경과 후 신고 조치를 했다.
 
개보위 관계자는 “최근 제조업 중심으로 랜섬웨어 감염 및 개인정보 유출이 증가하고 있다”며 “사업자들은 정기적 취약점 점검 및 보안 업데이트를 실시하고, 개인정보 데이터베이스 등 주요 파일을 별도 백업·보관하는 등 각별한 주의가 필요하다”고 말했다.