(서울=뉴스1) 이기림 기자 = 개인정보보호법을 위반한 미국 게임 회사 2K 게임즈(2K Games)와 부산국제금융진흥원이 총 3억 원대 과징금 및 과태료를 부과받았다.
개인정보보호위원회는 지난 10일 제26회 전체회의를 열고, 2개 사업자에 대해 이같은 과징금 및 과태료 부과, 사업자 홈페이지 결과 공표를 의결했다고 11일 밝혔다.
2K 게임즈는 안전조치의무 위반 및 유출 통지·신고 의무 위반을 이유로 과징금 1억 9451만 원과 과태료 720만 원을 부과받았다.
해커는 2K 헬프데스크 관리직원의 계정정보를 알 수 없는 방법으로 획득해 관리자 페이지에 접근하고, 국내 정보주체 약 1만 2906명을 포함한 전 세계 헬프데스크 이용자 400만 명의 개인정보를 유출했다.
2K 게임즈는 이런 사실을 2022년 9월 28일 인지하고 같은 해 10월 8일 개인정보위에 유출 신고했다.
조사 결과 2K 게임즈는 2011년부터 헬프데스크를 운영하면서, 개인정보취급자가 정보통신망을 통해 개인정보처리시스템에 접속 시 아이디, 비밀번호 이외에 안전한 인증수단을 추가 적용해야 함에도 이를 소홀히 한 것으로 나타났다.
개정 전 개인정보 보호법에 따르면 24시간 내 유출사실을 신고·통지하도록 돼 있었으나, 2K게임즈는 2022년 9월 28일경 개인정보 유출을 인지하고도 정당한 사유 없이 24시간을 지나 이용자에게 유출 통지 및 개인정보위에 신고를 지연했다.
또한 부산국제금융진흥원은 고유식별정보 처리제한 위반, 안전조치의무 위반으로 과징금 9540만 원 및 과태료 360만 원을 부과받았다.
해커는 2024년 6월 22일부터 24일 부산국제금융진흥원이 운영 중이던 업무관리시스템에 1분당 최대 433회, 총 2만 7072회 로그인을 시도해 로그인한 뒤 랜섬웨어를 실행해 서버 내 파일 암호화 후 랜섬노트(협박 메시지)를 남겼다.
업무관리시스템에는 임직원 등 177명의 개인정보가 포함돼 있었으며, 랜섬웨어 공격으로 주민등록번호 등 개인정보가 훼손돼 복구가 불가능한 상태가 됐다.
조사 결과 부산국제금융진흥원은 2020년 4월부터 내부 업무관리시스템을 설치·운영하면서 방화벽 등 별도 보안장비를 설치·운용하지 않았다.
윈도 운영체제 보안업데이트를 최신 상태로 유지하지 않았고, 주민등록번호를 암호화하지 않고 저장한 사실도 확인됐다.
개인정보위는 이번 처분에 대해 랜섬웨어로 인해 개인정보가 암호화돼 처리가 불가능한 경우 유출 여부가 불분명해도 '정상적인 서비스 제공 여부 등'을 기준으로 '개인정보 훼손'을 판단하고, 과징금을 부과 처분한다는 입장을 재확인했다는 점에서 의의가 있다고 설명했다.
※ 저작권자 ⓒ 뉴스1코리아, 무단전재-재배포 금지