개인정보보호위원회(이하 개인정보위)가 최근 급증하는 랜섬웨어 공격으로부터 개인정보를 보호하기 위한 기준을 명확히 했다. ㈜테라스타는 랜섬웨어 감염으로 운영 중이던 쇼핑몰 서버 내 개인정보가 훼손되었음에도 불구하고, 백업 정보 부재와 부실한 보안 조치로 인해 과징금 500만 원과 과태료 300만 원을 부과받았다. 반면 ㈜아이스트로는 신속한 백업 복구로 개인정보 효용 침해를 막아 과태료만 부과받는 등, 복구 능력과 안전조치 여부가 처분 결정에 중요한 영향을 미쳤음을 보여준다.
이번 개인정보위의 처분 결정은 랜섬웨어 공격으로 인해 개인정보의 접근이 불가능해진 상황을 ‘개인정보 훼손’으로 명확히 판단하고, 이에 대한 과징금 부과 기준을 제시했다는 점에서 주목된다. ㈜테라스타는 지난해 11월 26일경 해커의 랜섬웨어 공격으로 쇼핑몰 서버가 감염되는 피해를 입었다. 이 공격으로 900여 명 회원들의 성명, 생년월일, 성별, 휴대전화번호 등 민감한 개인정보가 훼손되었다. 사고 이후 ㈜테라스타는 웹서버와 홈페이지를 신규 구축하고 회원가입을 다시 받아 시스템을 재가동해야만 했다.
개인정보위의 조사 결과, ㈜테라스타는 운영 서버에 보안 업데이트 서비스가 종료된 윈도우 운영체제를 사용하고 있었던 것으로 드러났다. 또한, 방화벽이나 백신 프로그램을 설치 및 운영하지 않았으며, 비밀번호, 계좌번호 등 중요 정보를 암호화하지 않고 저장하는 등 기본적인 보안 조치도 미흡했던 것으로 확인되었다. 이러한 중대한 안전조치 의무 위반으로 인해 개인정보가 훼손되었다는 판단 하에 개인정보위는 ㈜테라스타에 과징금 500만 원과 과태료 300만 원을 부과하기로 의결했다.
한편, ㈜아이스트로 역시 지난 6월 7일경 해커의 공격으로 업무관리시스템 서버 내 데이터 파일이 랜섬웨어에 감염되는 피해를 입었다. 이 시스템에는 임직원 및 거래처 직원 1,991명의 개인정보가 포함되어 있었다. 그러나 ㈜아이스트로는 사고 인지 즉시 일일 백업된 자료를 이용해 시스템과 데이터를 신속하게 복구하고 서비스를 정상화하는 데 성공했다. 개인정보위는 이러한 신속한 복구 조치로 개인정보의 효용에 침해가 발생하지 않은 점을 고려하여 ㈜아이스트로에 과징금을 부과하지 않았다.
다만, ㈜아이스트로 역시 업무관리시스템 서버 내 데이터베이스 접속 정보를 암호 설정 없이 텍스트 파일로 보관하고 있었고, 임직원 등의 주민등록번호 처리 시 취급자의 접속 기록을 2년 이상 저장 및 관리하지 않은 사실이 추가로 확인되었다. 이러한 개인정보의 분실, 도난, 위조, 변조, 훼손 방지를 위한 안전관리 의무 위반에 대해서는 480만 원의 과태료가 부과되었다.
이번 개인정보위의 조치 결과는 랜섬웨어 공격이라는 동일한 위협 상황에서도 백업 및 신속한 복구 여부, 그리고 기본적인 안전조치 준수 여부가 개인정보 훼손 판단 및 처분 수위에 결정적인 영향을 미친다는 점을 명확히 보여준다. 개인정보위는 최근 빈발하는 랜섬웨어 공격에 대해 모든 개인정보처리자가 경각심을 갖고, 서버 운영체제 및 소프트웨어에 대한 최신 보안패치 적용, 백신 소프트웨어를 통한 악성코드 검사 수행, 그리고 주요 파일에 대한 주기적인 별도 백업 및 보관 등 철저한 보안 관리 노력을 기울여 줄 것을 거듭 당부했다.
About the Author
