▲ 개인정보보호위원회 명패
개인정보보호위원회는 개인정보 보호 법규를 위반한 미국 게임업체 2K 게임즈에 2억 171만 원, 부산국제금융진흥원에 9천900만 원의 과징금·과태료를 각각 부과했습니다.
개인정보위는 전날 열린 전체 회의에서 이같은 제재안을 의결했다고 오늘(11일) 밝혔습니다.
미국 컴퓨터·비디오게임 제작사인 2K 게임즈에서는 2022년 9월 해킹으로 국내 헬프데스크 이용자 약 1만 2천906명의 이름, 이메일, IP주소, 게임명, 문의내용 등이 유출됐습니다.
해커는 헬프데스크 관리직원의 계정 정보를 알 수 없는 경로로 탈취해 관리자 페이지에 접근한 뒤, 국내 이용자를 포함해 전 세계 약 400만 명의 개인정보를 빼냈습니다.
개인정보위 조사에 따르면 2K 게임즈는 2011년부터 헬프데스크를 운영하면서도 아이디와 비밀번호 외에 안전한 인증수단을 적용하지 않은 것으로 확인됐습니다.
또 개정 전 개인정보보호법이 규정한 '유출 인지 후 24시간 이내 신고·통지' 의무를 지키지 않아 이용자 통지와 신고가 지연됐습니다.
이에 개인정보위는 과징금·과태료 부과 사실을 위원회 홈페이지에 공표하기로 했습니다.
지난 6월 발생한 랜섬웨어 공격으로 임직원 177명의 주민등록번호 등 개인정보가 훼손되고 복구가 불가능해진 부산국제금융진흥원에는 총 9천900만 원의 과징금·과태료가 부과됐습니다.
해커는 업무관리시스템에 1분당 최대 433회, 총 2만 8천72회의 로그인을 시도해 접근에 성공한 것으로 조사됐습니다.
개인정보위는 해당 법인이 2020년 4월 내부 업무관리시스템을 구축·운영하면서도 방화벽 등 필수 보안장비를 설치하지 않았고, 윈도우 보안 업데이트를 최신 상태로 유지하지 않았으며, 주민등록번호를 암호화하지 않은 사실을 확인했습니다.
개인정보위는 이번 처분이 "랜섬웨어로 개인정보가 암호화돼 처리할 수 없는 경우, 유출 여부가 명확하지 않더라도 '개인정보 훼손'으로 판단해 과징금을 부과한다"는 기존 입장을 재확인한 데 의미가 있다고 설명했습니다.
개인정보위는 "개인정보 데이터베이스 등 주요 파일은 주기적으로 별도 백업·보관해야 한다"며 "관리자 페이지 접속 시에는 아이디·비밀번호 외에 일회용 비밀번호(OTP) 등 안전한 인증수단을 반드시 추가해 사용할 것"을 당부했습니다.
(사진=개인정보보호위원회 제공, 연합뉴스)
동영상 기사
동영상 기사
동영상 기사
