개인정보위, 2K게임즈·부산국제금융진흥원에 총 2.89억 과징금

2K게임즈 유출 알고도 늑장신고…부산국제금융진흥원 접근통제 소홀

[서울=뉴시스] 김명원 기자 = 송경희 개인정보보호위원회 위원장이 10일 서울 종로구 정부서울청사에서 열린 개인정보보호위원회(개인정보위) 제26회 위원회 전체회의에 참석해 의사봉을 두드리고 있다. 2025.12.10. kmx1105@newsis.com

[서울=뉴시스] 신효령 기자 = 개인정보보호위원회가 개인정보 보호 법규를 위반한 미국 2K게임즈와 부산국제금융진흥원 등 2개 사업자에 총 2억8991만원의 과징금과 1080만원의 과태료를 부과했다.

개인정보위는 전날 전체회의를 열고 이러한 결과를 공표할 것을 의결했다고 11일 밝혔다.

미국 게임사인 2K게임즈는 2022년 9월 개인정보처리시스템 해킹으로 게임 헬프데스크를 이용하는 국내 회원 1만2906명의 이름, 이메일, IP 주소 등 개인정보가 유출된 사실을 인지하고 그해 10월 개인정보위에 유출 신고를 했다. 해커는 2K게임즈 헬프데스크 관리 직원의 계정정보를 몰래 빼내 관리자 페이지에 접근하고, 국내 회원 1만2906명을 포함한 전 세계 헬프데스크 이용자 400만명의 개인정보를 유출했다.

개인정보위 조사 결과 2K게임즈는 2011년부터 헬프데스크를 운영하면서 개인정보취급자가 정보통신망을 통해 개인정보처리시스템에 접속할 때 아이디·비밀번호 외에 안전한 인증수단을 추가 적용해야 함에도 이를 소홀히 한 것으로 나타났다. 개정 전 개인정보 보호법에 따르면 24시간 내 유출사실을 신고·통지하도록 되어 있었으나, 2K게임즈는 개인정보 유출을 인지하고도 정당한 사유 없이 24시간을 경과해 이용자에게 유출을 통지하고 개인정보위 신고도 지연했다.

이에 개인정보위는 2K게임즈에 과징금 1억 9451만 원과 과태료 720만원을 부과했다.

부산국제금융진흥원이 운영하는 업무관리시스템도 2024년 6월 해커의 랜섬웨어 공격으로 177명의 주민등록번호 등 개인정보가 훼손돼 복구가 불가능한 상태가 됐다. 개인정보위 조사 결과 부산국제금융진흥원은 2020년 4월부터 내부 업무관리시스템을 설치·운영하면서 방화벽 등 별도 보안장비를 설치·운용하지 않았고, 윈도 운영체제 보안 업데이트를 최신 상태로 유지하지 않았으며, 주민등록번호를 암호화하지 않고 저장한 사실도 확인됐다.

이에 따라 개인정보위는 안전조치 의무 위반으로 개인정보가 훼손된 부산국제금융진흥원에 과징금 9540만 원과 과태료 360만원을 부과하기로 했다.

이번 처분은 개인정보위가 랜섬웨어로 인해 개인정보가 암호화되어 처리가 불가능한 경우, 유출 여부가 불분명하더라도 '정상적인 서비스 제공 여부 등'을 기준으로 '개인정보 훼손'을 판단하고 과징금을 부과한다는 입장을 재확인했다는 점에서 의의가 있다.

이번 조사·처분과 관련해 개인정보위는 개인정보 데이터베이스 등 주요 파일은 주기적으로 별도 백업·보관하는 등 각별한 주의가 필요하다고 강조했다. 또 개인정보취급자가 정보통신망을 통해 관리자 페이지 등 개인정보처리시스템에 접속할 때에는 아이디와 비밀번호 외에 일회용 비밀번호(OTP) 등 안전한 인증수단을 이용해 접속해야 한다고 당부했다.

☞공감언론 뉴시스snow@newsis.com <저작권자ⓒ 공감언론 뉴시스통신사. 무단전재-재배포 금지.>