보안 조치 부실로 개인정보를 대거 유출한 미국 게임사 2K 게임즈와 부산국제금융진흥원이 총 3억71만원의 과징금과 과태료를 부과받았다.
개인정보보호위원회는 지난 10일 제26회 전체회의를 열고 개인정보 보호 법규를 위반한 2K 게임즈에 과징금과 과태료 2억171만원을, 부산국제금융진흥원에는 9900만원을 각각 부과하기로 의결했다고 11일 밝혔다.
2K 게임즈의 경우 지난 2022년 개인정보처리시스템 해킹으로 게임 헬프데스크를 이용하는 국내 정보주체 약 1만2906명의 개인정보가 유출됐다. 해커는 2K 헬프데스크 관리직원의 계정정보를 알 수 없는 방법으로 획득해 관리자 페이지에 접근하고, 국내 정보주체 약 1만2906명을 포함해 전세계 헬프데스크 이용자 400만명의 개인정보를 유출했다.
개인정보위 조사 결과, 2K는 2011년부터 헬프데스크를 운영하면서 개인정보취급자가 정보통신망을 통해 개인정보처리시스템에 접속 시 아이디, 비밀번호 이외에 안전한 인증수단을 추가 적용하는 조치를 소홀히 한 것으로 나타났다.
부산국제금융진흥원의 경우 해커가 지난해 진흥원이 운영 중이던 업무관리시스템에 1분당 최대 433회(총 2만8072회)의 로그인을 시도해 침입했다. 해커는 로그인 이후 랜섬웨어를 실행해 서버 내 파일을 암호화한 뒤 랜섬노트(협박 메시지)를 남겼다. 업무관리시스템에는 임직원 등 177명의 개인정보가 포함되어 있었고, 랜섬웨어 공격으로 주민등록번호 등 개인정보가 훼손돼 복구가 불가능해진 것으로 조사됐다.
개인정보위는 "부산국제금융진흥원은 사고 당시 클라우드에 설치된 그룹웨어와 업무관리시스템 간 연계작업을 위해 업무관리시스템을 공인IP로 전환·구성하면서 약 5일간 해커의 접근을 허용했다"고 했다.
진흥원은 2020년 4월부터 내부 업무관리시스템을 설치·운영하면서 방화벽 등 별도 보안장비를 설치·운용하지 않은 것으로 나타났다. 또 윈도우 운영체제 보안 업데이트를 최신 상태로 유지하지 않았고, 주민등록번호를 암호화하지 않고 저장한 사실도 확인됐다.
이번 조사·처분과 관련해 개인정보위는 "개인정보 데이터베이스 등 주요 파일은 주기적으로 별도 백업·보관하는 등 각별한 주의가 필요하다"고 강조했다.
아울러 개인정보취급자가 정보통신망을 통해 관리자페이지 등 개인정보처리시스템에 접속할 때 아이디와 비밀번호 외에 일회용 비밀번호(OTP) 등 안전한 인증수단을 이용해 접속하도록 해야 한다고 당부했다.