개인정보보호위원회가 9월 24일 열린 제21회 전체회의에서 개인정보 보호법규 위반 사업자에 대한 제재를 의결했다고 밝혔다. 

 자료제공=개인정보보호위원회

위원회는 화장품 등 생활필수품을 판매하는 통신판매업체 테라스타(이전 사명 에이쓰리글로벌)에 과징금 500만 원과 과태료 300만 원을, 제빙기 등 냉동식품 기기 제조업체 아이스트로에 과태료 480만 원을 각각 부과했다.

개인정보위에 따르면, 지난해 11월 테라스타가 운영하던 쇼핑몰 서버는 해커의 랜섬웨어 공격으로 마비됐다. 이에 당시 가입 회원 900여 명의 성명, 생년월일, 성별, 휴대전화번호 등 개인정보가 암호화·변조돼 ‘훼손’된 것으로 확인됐다.

테라스타는 해당 시기에 보안 업데이트 지원이 종료된 운영체제를 사용하고 있었으며, 방화벽·백신 프로그램을 설치하지 않았고, 비밀번호 및 계좌번호도 암호화 없이 저장한 것으로 드러났다. 이에 개인정보위는 안전조치 의무 위반으로 과징금과 과태료를 함께 부과했다.

한편 올해 6월에는 아이스트로가 운영하던 내부 업무관리시스템이 랜섬웨어에 감염돼 임직원 및 거래처 직원 1991명의 개인정보가 포함된 데이터가 암호화됐다. 그러나 아이스트로는 일일 백업자료를 활용해 시스템과 데이터를 즉시 복구, 서비스 중단 없이 정상화했다.

이에 따라 개인정보위는 과징금은 부과하지 않았으나, 서버 내 DB 접속정보를 암호화 없이 보관하고, 주민등록번호를 처리하면서 접속기록을 2년 이상 관리하지 않은 점을 확인해 과태료 480만 원을 부과했다.

개인정보위는 이번 처분이 랜섬웨어로 개인정보가 암호화돼 접근이 불가능한 경우에도, △백업자료 보유 및 신속 복구 여부 △서비스 제공 정상화 여부 △안전조치 이행 여부 등을 종합해 ‘개인정보 훼손’을 판단하고 과징금을 부과할 수 있다는 점을 명확히 한 사례라고 설명했다.

이와 함께 위원회는 최근 랜섬웨어 공격이 빈발하는 점을 지적하며, 모든 개인정보처리자가 서버 운영체제와 소프트웨어에 최신 보안패치를 적용하고, 백신을 통한 악성코드 검사를 철저히 해야 한다고 강조했다. 

또한, 개인정보 데이터베이스와 주요 파일은 정기적으로 별도 백업·보관해 피해를 최소화해야 한다고 당부했다.

[경제엔미디어=장민철 기자]