개인정보보호위원회가 개인정보 보호 법규를 위반한 2개 사업자에 대해 총 3억 71만 원의 과징금 및 과태료를 부과하고, 위반 사실을 홈페이지에 공표하기로 했다.
이번 조치는 개인정보 유출과 보안조치 미흡 등 기본적인 보호의무를 소홀히 한 기업에 대해 강력한 경고를 보낸 사례로 평가된다.

■ 2K Games, 보안 인증 미비로 1만2천명 개인정보 유출

첫 번째 처분 대상은 글로벌 게임사 **2K Games, Inc.**다.
2K는 2022년 9월 헬프데스크 시스템이 해킹돼 국내 이용자 1만2,906명, 전 세계 약 400만 명의 개인정보가 유출되는 사고를 겪었다.

조사 결과, 2K는 개인정보처리시스템에 접속하는 직원에게 아이디·비밀번호 외 추가 인증수단(OTP 등)을 적용하지 않았으며, 유출 사실을 인지한 후에도 24시간 이내 신고·통지 의무를 이행하지 않았다.

2K는 9월 28일 유출을 인지했으나, 이용자 통지: 10월 6일, 개인정보위 신고: 10월 8일로, 법정 기한을 초과했다.

이에 개인정보위는 2K에 과징금과 과태료를 부과하고, 관련 내용을 홈페이지에 공표하도록 명령했다.

■ 부산국제금융진흥원, 보안장비 미설치로 랜섬웨어 피해

두 번째 처분 대상은 (사)부산국제금융진흥원이다.
2024년 6월, 해커가 해당 기관의 **업무관리시스템에 1분당 433회(총 2만8,072회)**의 로그인 시도를 통해 침입, 랜섬웨어를 실행해 개인정보가 포함된 파일을 암호화했다.

이 공격으로 인해 임직원 등 **177명의 개인정보(주민등록번호 포함)**가 훼손돼 복구가 불가능한 상태가 됐다.

조사 결과, 진흥원은 방화벽 등 보안장비 미설치, 윈도우 보안업데이트 미실시, 주민등록번호 암호화 미이행 등 기본적인 안전조치 의무를 다하지 않은 사실이 확인됐다.

이에 개인정보위는 진흥원에 과징금 및 과태료를 부과하고, 안전조치 강화 명령을 내렸다.

■ “랜섬웨어 피해도 개인정보 훼손으로 간주”…처분 기준 명확화

개인정보위는 이번 결정에서 랜섬웨어로 인해 개인정보가 암호화돼 정상적인 서비스 제공이 불가능한 경우에도 ‘개인정보 훼손’으로 본다는 기준을 재확인했다.
이는 단순 유출뿐 아니라 복구 불가능한 손상 또한 제재 대상이 된다는 점을 명시한 것이다.

■ 개인정보위 “보안 점검·이중 인증 필수”

개인정보위는 이번 사례를 계기로 기업 및 기관들에게 정기적인 데이터 백업 및 별도 보관, 관리자 페이지 접속 시 OTP 등 이중 인증 의무화, 보안 업데이트 및 취약점 점검 강화 를 강력히 권고했다.

위원회는 “랜섬웨어 공격이 지능화되는 만큼 기본 보안조치를 철저히 이행해야 하며, 관리자의 인증체계 강화가 필수적”이라고 강조했다.

디지털 보안의 허점은 단 한 번의 방심에서 시작된다. 개인정보 보호는 기술보다 ‘관리의 습관’에서 완성된다. 기업과 기관의 자율적 보안 점검 문화가 정착되어야 한다.

[비즈데일리 유정흔 기자]