개인정보위, 2K 게임즈·부산국제금융진흥원에 과징금… 보안 의무 위반 제재

2K, 추가 인증 미적용·신고 지연

부산국제금융진흥원, 랜섬웨어로 개인정보 훼손

[출처=연합뉴스]

개인정보보호위원회(개인정보위)가 개인정보 보호 법규를 위반한 2K 게임즈(2K)와 (사)부산국제금융진흥원에 대해 과징금과 과태료를 부과하기로 결정했다. 

개인정보위는 어제 전체회의를 열고 두 기관의 개인정보 유출·훼손 사건에 대한 조사 결과를 심의하고 이 같은 제재 조치를 의결했다고 11일 밝혔다.

개인정보위에 따르면, 2K는 2022년 9월 헬프데스크 시스템이 해킹당해 국내 이용자 약 1만 2906명의 개인정보가 유출되는 사고가 발생했으나, 개인정보처리시스템 접속 과정에서 추가 인증수단을 적용하지 않는 등 안전조치 의무를 소홀히 한 것으로 조사됐다.

또한 당시 법령이 정한 ‘유출 사실 인지 후 24시간 이내 신고·통지’ 의무를 이행하지 않은 채, 유출 사실을 파악한 9월 28일 이후 통지와 신고를 각각 10월 6일과 10월 8일로 미뤄 정당한 사유 없는 지연이 발생했다. 개인정보위는 관련 위반 사항을 근거로 2K에 과징금·과태료를 부과하고 처분 내용을 홈페이지에 공표하도록 했다.

부산국제금융진흥원에 대한 제재는 랜섬웨어로 인한 개인정보 훼손이 핵심 사안이다. 개인정보위 조사에 따르면, 2024년 6월 22일부터 24일까지 해커가 업무관리시스템에 총 2만 8072회의 로그인 시도를 반복한 끝에 침입에 성공한 뒤 랜섬웨어를 실행해 서버 내 파일을 암호화했다. 

해당 시스템에는 임직원 등 177명의 개인정보가 포함돼 있었으며, 주민등록번호 등을 포함한 주요 개인정보가 복구 불가능한 상태로 훼손됐다.

조사 결과, 부산국제금융진흥원은 2020년부터 업무관리시스템을 운영하면서 방화벽 등 별도의 보안장비를 구축하지 않았고, 운영체제 보안 업데이트를 최신 상태로 유지하지 않은 것으로 드러났다. 주민등록번호를 암호화 없이 저장한 사실도 확인됐다. 개인정보위는 이러한 안전조치 의무 위반을 근거로 과징금과 과태료 부과를 결정했다.

개인정보위는 이번 처분과 관련해 “랜섬웨어로 개인정보가 암호화돼 유출 여부가 불분명하더라도, 정상적인 서비스 제공이 불가능해지는 등 실질적 피해가 발생한 경우 ‘개인정보 훼손’으로 판단할 수 있다”며 기존 법 집행 원칙을 재확인했다.