不十分なセキュリティ対策により大量の個人情報を流出させた米国ゲーム会社の2Kゲームズと釜山国際金融振興院が、総額3億71万ウォンの課徴金と過料の処分を受けた。
個人情報保護委員会は10日に第26回全体会議を開き、個人情報保護法規に違反した2Kゲームズに対し課徴金と過料計2億171万ウォン、釜山国際金融振興院に対し9900万ウォンをそれぞれ科すことを議決したと、11日に明らかにした。
2Kゲームズの場合、2022年に個人情報処理システムがハッキングされ、ゲームのヘルプデスクを利用する韓国内の情報主体約1万2906人の個人情報が流出した。ハッカーは2Kヘルプデスク管理職員のアカウント情報を不明な方法で取得して管理者ページにアクセスし、韓国内の情報主体約1万2906人を含む全世界のヘルプデスク利用者400万人の個人情報を流出させた。
個人情報保護委の調査の結果、2Kは2011年からヘルプデスクを運用しながら、個人情報取扱者が情報通信網を通じて個人情報処理システムに接続する際、IDとパスワード以外に安全な認証手段を追加適用する措置を怠っていたことが判明した。
釜山国際金融振興院の場合、ハッカーが2024年に振興院が運用中だった業務管理システムに1分当たり最大433回(計2万8072回)のログインを試行して侵入した。ハッカーはログイン後にランサムウェアを実行してサーバー内のファイルを暗号化し、ランサムノート(脅迫メッセージ)を残した。業務管理システムには役職員など177人の個人情報が含まれており、ランサムウェア攻撃により住民登録番号などの個人情報が毀損され、復旧が不可能になったと調査された。
個人情報保護委は「釜山国際金融振興院は事故当時、クラウドに設置されたグループウェアと業務管理システム間の連携作業のために業務管理システムを公認IPに転換・構成する過程で、約5日間ハッカーのアクセスを許容した」と述べた。
振興院は2020年4月から内部の業務管理システムを設置・運用しながら、ファイアウォールなどの別途のセキュリティ機器を設置・運用していなかったことが判明した。さらに、Windowsオペレーティングシステムのセキュリティアップデートを最新の状態に維持しておらず、住民登録番号を暗号化せずに保存していた事実も確認された。
今回の調査・処分に関連し、個人情報保護委は「個人情報データベースなど主要ファイルは定期的に別途バックアップ・保管するなど、格別の注意が必要だ」と強調した。
あわせて、個人情報取扱者が情報通信網を通じて管理者ページなど個人情報処理システムに接続する際は、IDとパスワード以外にワンタイムパスワード(OTP)など安全な認証手段を用いて接続させるべきだと呼びかけた。