개인정보위, 2K게임즈·부산국제금융진흥원에 과징금 3억 부과

[이데일리 권하영 기자] 개인정보보호위원회(위원장 송경희)는 지난 10일 제26회 전체회의를 열고 개인정보 보호 법규를 위반한 2개 사업자에 대해 총 3억71만원의 과징금 및 과태료를 부과하기로 의결했다고 11일 밝혔다.

송경희 개인정보보호위원회 위원장이 10일 정부서울청사에서 열린 제26회 개인정보보호위원회 전체회의에서 의사봉을 두드리고 있다.사진=연합뉴스

이번 처분 대상은 미국 소재 게임사 ‘2K Games, Inc.(이하 2K)’와 금융정책 관련 비영리 법인 ‘부산국제금융진흥원’이다.

2K는 개인정보처리시스템 해킹으로 국내 이용자 1만2906명의 개인정보가 유출됐다. 유출된 항목은 △이름 △이메일 △IP 주소 △이용 중인 게임명 △문의내용 등이다.

조사 결과 2K는 2011년부터 헬프데스크를 운영하면서 개인정보취급자가 정보통신망으로 개인정보처리시스템에 접속 시 아이디와 비밀번호 외에 안전한 인증수단을 추가하지 않은 것으로 드러났다. 또한 유출 사실을 인지하고도 정당한 사유 없이 24시간 내에 이용자 통지와 신고를 지연했다. 이에 개인정보위는 2K에 과징금과 과태료 총 2억171만원을 부과했다.

부산국제금융진흥원은 운영 중이던 업무 관리시스템이 랜섬웨어 공격을 받아 임직원 등 177명의 개인정보가 훼손돼 복구가 불가능해졌다. 해커는 1분당 최대 433회의 로그인을 시도해 시스템에 침입한 뒤 서버 내 파일을 암호화하고 협박 메시지를 남겼다.

진흥원은 2020년 4월부터 내부관리시스템을 운영하면서 방화벽 등 별도 보안장비를 설치하지 않았고, 윈도우 운영체제 보안 업데이트도 최신 상태로 유지하지 않았다. 또한 주민등록번호를 암호화하지 않고 저장한 사실도 확인됐다. 개인정보위는 진흥원에 과징금과 과태료 총 9900만원을 부과했다.

이번 처분은 개인정보위가 랜섬웨어로 인해 개인정보가 암호화되어 처리가 불가능한 경우에 유출 여부가 불분명하다 하더라도, ‘정상적인 서비스 제공 여부 등’을 기준으로 ‘개인정보 훼손’을 판단하고, 과징금을 부과 처분한다는 입장을 재확인했다는 점에서 의의가 있다고 개인정보위는 설명했다.

개인정보위 관계자는 “개인정보 데이터베이스 등 주요 파일은 주기적으로 별도 백업해야 한다”며 “관리자 페이지 접속 시 일회용 비밀번호(OTP) 등 안전한 인증수단을 이용해 달라”고 당부했다.