개인정보보호위원회는 2022년 9월 해킹으로 국내 헬프데스크 이용자 약 1만2906명의 개인정보를 유출한 미국 게임업체 2K 게임즈에 2억171만원을, 1만1029명의 회원정보가 유출된 국립항공박물관에 과징금 9800만원을 부과했다.
또 랜섬웨어 공격으로 임직원 177명의 주민등록번호 등 개인정보가 훼손된 부산국제금융진흥원에는 9900만원의 과징금·과태료를 각각 부과했다. 개인정보위는 전날 열린 전체 회의에서 이 같은 제재안을 의결했다고 11일 밝혔다.
미국 컴퓨터·비디오게임 제작사인 2K 게임즈에서는 2022년 9월 해킹 공격을 받아 국내 헬프데스크 이용자 약 1만2906명의 이름, 이메일, IP주소, 게임명, 문의내용 등이 유출됐다. 해커는 헬프데스크 관리직원의 계정 정보를 알 수 없는 경로로 탈취해 관리자 페이지에 접근한 뒤, 국내 이용자를 포함해 전 세계 약 400만명의 개인정보를 빼냈다.
개인정보위 조사에 따르면 2K 게임즈는 2011년부터 헬프데스크를 운영하면서도 아이디와 비밀번호 외에 안전한 인증수단을 적용하지 않은 것으로 확인됐다. 또 개정 전 개인정보 보호법이 규정한 ‘유출 인지 후 24시간 이내 신고·통지’ 의무를 지키지 않아 이용자 통지와 신고가 지연됐다. 이에 따라 개인정보위는 과징금·과태료 부과 사실을 위원회 홈페이지에 공표하기로 했다.
또 개인정보위는 올해 6월 발생한 랜섬웨어 공격으로 임직원 177명의 주민등록번호 등 개인정보가 훼손되고 복구가 불가능해진 부산국제금융진흥원에 총 9900만원의 과징금·과태료를 부과했다. 해커는 진흥원 업무관리시스템에 1분당 최대 433회, 총 2만8072회의 로그인을 시도해 접근에 성공한 것으로 조사됐다.
개인정보위는 해당 법인이 2020년 4월 내부 업무관리시스템을 구축·운영하면서도 방화벽 등 필수 보안장비를 설치하지 않았고, 윈도 보안 업데이트를 최신 상태로 유지하지 않았으며, 주민등록번호를 암호화하지 않은 사실을 확인했다.
개인정보위는 이번 처분이 “랜섬웨어로 개인정보가 암호화돼 처리할 수 없는 경우, 유출 여부가 명확하지 않더라도 ‘개인정보 훼손’으로 판단해 과징금을 부과한다”는 기존 입장을 재확인한 데 의미가 있다고 설명했다. 이어 “개인정보 데이터베이스 등 주요 파일은 주기적으로 별도 백업·보관해야 한다”며 “관리자 페이지 접속 시에는 아이디와 비밀번호 외에 일회용 비밀번호(OTP) 등 안전한 인증수단을 반드시 추가해 사용할 것”을 당부했다.
개인정보위는 국립항공박물관의 개인정보 보호 법규 위반에 대한 제재안을 의결에 대한 내용도 알렸다. 개인정보위 조사에 따르면 해커는 국립항공박물관의 관리자 계정을 알 수 없는 방법으로 획득해 관리자 페이지에 접속해, 회원 1만1029명의 성명, 아이디, 성별, 생년월일, 주소, 연락처 등 개인정보를 내려받은 것으로 파악됐다. 이 과정에서 일부 회원에게는 악성 애플리케이션 설치를 유도하는 스미싱 문자도 발송됐다.
개인정보위는 박물관이 3개의 관리자 계정을 20여명의 직원 및 수탁업체와 공유하고, 외부에서도 관리자 페이지에 접속할 수 있도록 하면서 인터넷 프로토콜(IP) 접근 제한을 적용하지 않은 점을 문제로 지적했다. 또 인증서 등 안전한 인증수단 없이 아이디와 비밀번호만으로 로그인할 수 있도록 허술하게 운영했으며, 개인정보 취급자 접속기록도 점검하지 않은 사실이 확인됐다고 밝혔다.
한편 개인정보위는 위원회 의결로 올해 상반기 중 이행 기한이 도래한 시정명령·시정권고·개선권고·공표명령 등 108건 가운데 103건(약 95.3%)이 이행되거나 이행계획이 제출된 것으로 확인됐다고 전했다.
이번 이행점검에는 지난해 11월 종교·정치관·성적 지향 등 민감정보를 이용자의 적법한 동의 없이 수집·생성해 맞춤형 광고에 활용한 사실이 적발된 메타(Meta) 건이 포함됐다. 당시 개인정보위는 메타에 과징금 216억원과 시정명령을 내렸으며, 메타는 민감정보 기반 광고 타게팅 옵션을 삭제해 시정조치를 이행했다.
지난해 12월 개인정보 수집·이용 동의 위반으로 처분을 받은 12개 손해보험사의 경우, 보험료 계산 화면에서 상품소개·혜택 안내 미동의자에게 동의를 재유도하는 팝업을 삭제하는 등 동의 절차를 개선한 것으로 확인됐다. 이들 보험사는 보험료 계산을 중단하거나 계약이 성사되지 않은 경우 관련 개인정보가 자동으로 파기되도록 개선했다.
올해 6월 안전조치 의무 소홀로 처분을 받은 전북대는 주요 정보시스템 대상 모의해킹 훈련, 취약점 점검·조치, 보안관제 플랫폼 구축 등을 완료했다.
이화여대도 학사행정시스템 인증 강화, 24시간 원격 보안관제 도입, 모의해킹 시행 등 보안 체계를 강화했다. 클라우드 사업자에 대한 사전 실태점검 결과에 따라 이뤄진 개선 권고도 모두 이행됐다.
아마존웹서비스(AWS), MS 애저(Azure), 네이버클라우드 등 주요 클라우드 사업자는 클라우드 서비스 내 추가 설정 및 별도 솔루션 구독 내용 등이 담긴 가이드라인을 마련했다. 올해 3월 처분을 받은 모두투어는 자원관리시스템(ERP) 시스템 정기점검 시 파기 항목을 추가해 개인정보가 자동으로 삭제되도록 조치했다.
소셜 로그인 서비스에 대한 사전 실태점검으로 개선 권고를 받은 소셜 로그인 5개 사업자에서도 적극적인 개선 노력이 확인됐다고 개인정보위는 전했다. 이들 5개 사업자는 이용자가 소셜로그인 계정을 탈퇴하는 경우 개인정보가 적시에 파기될 수 있도록 소셜탈퇴 및 연동 해지 방법·기능을 개발자 문서 등에 안내했다.
개인정보위는 현재 시정조치 점검 중인 3개 피심인의 시정조치 이행 여부를 추가로 확인하고 이행을 독려할 방침이다. 이와 함께 시정명령을 유형별로 보다 구체화하고 점검 체계를 강화하는 등 시정명령의 실효성을 높이기 위한 제도 개선도 병행할 계획이다.
