개인정보위, 2K게임즈에 2억여원 제재

[프라임경제] 개인정보보호위원회(이하 개인정보위)는 전날 열린 전체회의에서 개인정보 보호 법규를 위반한 미국 게임업체 2K 게임즈에 2억171만원, 부산국제금융진흥원에 9900만원의 과징금·과태료를 각각 부과하기로 했다고 11일 밝혔다.

송경희 개인정보보호위원회 위원장이 10일 오후 서울 종로구 정부서울청사에서 개최된 2025년 제26회 개인정보보호위원회 전체회의에서 모두발언을 하고 있다. ⓒ 개인정보보호위원회

2K게임즈는 개인정보처리시스템 해킹으로 게임 헬프데스크를 이용하는 국내 정보주체 약 1만2906명의 개인정보가 유출된 사실을 인지(2022년 9월28일)하고 개인정보위에 유출신고(2022년 10월8일)했다. 

해커는 2K 헬프데스크 관리직원의 계정정보를 알 수 없는 방법으로 획득해 관리자 페이지에 접근한 뒤 전 세계 헬프데스크 이용자 400만명의 개인정보를 유출했다.

개인정보위 조사 결과, 2K는 2011년부터 헬프데스크를 운영하면서 개인정보취급자가 정보통신망을 통해 개인정보처리시스템에 접속 시 아이디, 비밀번호 이외에 안전한 인증수단을 추가 적용해야 함에도 이를 소홀히 한 것으로 나타났다. 

또 개정 전 개인정보보호법이 규정한 '유출 인지 후 24시간 이내 신고·통지' 의무를 지키지 않아 이용자 통지와 신고가 지연됐다.

이에 개인정보위는 2K에 과징금과 과태료를 부과하고, 처분받은 사실을 개인정보위 홈페이지에 공표하기로 했다.

지난 6월 발생한 랜섬웨어 공격으로 임직원 177명의 주민등록번호 등 개인정보가 훼손되고 복구가 불가능해진 부산국제금융진흥원에는 총 9900만원의 과징금·과태료가 부과됐다.

개인정보위 조사 결과 부산국제금융진흥원은 2020년 4월부터 내부 업무관리시스템을 설치·운영하면서 방화벽 등 별도 보안장비를 설치·운용하지 않았다. 

아울러 윈도우 운영체제 보안업데이트를 최신 상태로 유지하지 않았고, 주민등록번호를 암호화하지 않고 저장한 사실도 확인됐다.

이에 따라 개인정보위는 안전조치 의무 위반으로 개인정보가 훼손된 부산국제금융진흥원에 과징금과 과태료를 부과하기로 했다.

개인정보위는 "이번 처분은 랜섬웨어로 인해 개인정보가 암호화돼 처리가 불가능한 경우에 유출 여부가 불분명하다 하더라도, '정상적인 서비스 제공 여부 등'을 기준으로 '개인정보 훼손'을 판단하고, 과징금을 부과 처분한다는 입장을 재확인했다는 점에서 의의가 있다"고 설명했다.