랜섬웨어에 개인정보 훼손…테라스타 과징금·과태료 800만원
데이터 복구한 아이스트로는 과태료 480만원만 부과
(서울=연합뉴스) 차민지 기자 = 개인정보보호위원회는 25일 랜섬웨어 공격으로 개인정보를 훼손한 테라스타에 과징금 500만원과 과태료 300만원을, 아이스트로에 과태료 480만원을 각각 부과한다고 밝혔다.
개인정보위는 전날 제21회 전체회의를 열고 이같이 의결했다고 밝혔다.
테라스타는 화장품 등 생활필수품을 판매하는 통신판매업자이고, 아이스트로는 제빙기 등 냉동식품 기기 제조사다.
테라스타는 2023년 11월 26일께 해커 공격으로 운영 중인 쇼핑몰 서버가 랜섬웨어에 감염됐다. 해커는 서버 내 파일을 암호화하고 확장자를 변경해 시스템 운영을 중단시킨 후 랜섬노트(협박 메시지)를 남겼다.
당시 쇼핑몰에는 900여 명의 회원이 가입돼 있었으며, 이들의 성명, 생년월일, 성별, 휴대전화번호 등 개인정보가 랜섬웨어 공격으로 훼손됐다.
개인정보위 조사 결과, 테라스타는 쇼핑몰 운영 서버에 보안 업데이트 서비스가 종료된 윈도우 운영체제를 사용하고 있었다.
또 방화벽이나 백신 프로그램을 설치·운영하지 않았고, 비밀번호·계좌번호 등을 암호화하지 않고 저장한 사실도 확인됐다.
이에 따라 개인정보위는 안전조치 의무 위반으로 개인정보가 훼손된 테라스타에 과징금 500만원과 과태료 300만원을 부과하기로 했다.
아이스트로의 경우 해커가 내부 업무관리시스템에 접근해 관리자용 계정을 생성하고, 작년 6월 7일께 업무관리시스템 서버 내 데이터 파일을 암호화한 후 랜섬노트를 남겼다.
아이스트로가 운영 중이던 업무관리시스템에는 임직원과 거래처 직원 1천991명의 개인정보가 포함돼 있었다.
하지만 아이스트로는 사고를 인지한 즉시 그룹 백업자료를 이용해 시스템과 데이터를 복구하고 서비스를 정상화했고, 개인정보위는 이를 고려해 과징금을 부과하지 않기로 했다.
다만 개인정보위는 아이스트로가 업무관리시스템 서버 내 데이터베이스 접속정보를 텍스트 파일에 암호 설정 없이 보관하고, 임직원 등의 주민등록번호를 처리하면서 취급자의 데이터베이스 접속기록을 2년 이상 저장·관리하지 않은 사실을 확인해 480만원의 과태료를 부과하기로 했다.
개인정보위는 이번 처분이 랜섬웨어로 개인정보가 암호화돼 처리가 불가능한 경우 유출 여부가 불분명하더라도 '백업 및 신속한 복구 여부, 정상적인 서비스 제공 여부 및 안전조치 여부' 등을 기준으로 개인정보 훼손을 판단한다는 입장을 명확히 한 것이라고 설명했다.
테라스타와 아이스트로 모두 서버가 랜섬웨어에 감염돼 데이터 파일이 암호화됐지만, 테라스타는 백업정보가 없어 시스템을 재구축하고 회원 개인정보를 새로 수집한 반면, 아이스트로는 백업해둔 정보로 신속히 복구해 개인정보 효용에 침해가 발생하지 않은 점을 고려했다는 것이다.
개인정보위는 "최근 랜섬웨어 시도가 빈발하고 있는 상황에서 모든 개인정보처리자가 경각심을 갖고 개인정보처리시스템의 서버 운영체제, 소프트웨어 등에 최신 보안패치를 적용해야 한다"고 강조했다.
chacha@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포, AI 학습 및 활용 금지>
데이터 복구한 아이스트로는 과태료 480만원만 부과
(서울=연합뉴스) 차민지 기자 = 개인정보보호위원회는 25일 랜섬웨어 공격으로 개인정보를 훼손한 테라스타에 과징금 500만원과 과태료 300만원을, 아이스트로에 과태료 480만원을 각각 부과한다고 밝혔다.
개인정보위는 전날 제21회 전체회의를 열고 이같이 의결했다고 밝혔다.
테라스타는 화장품 등 생활필수품을 판매하는 통신판매업자이고, 아이스트로는 제빙기 등 냉동식품 기기 제조사다.
테라스타는 2023년 11월 26일께 해커 공격으로 운영 중인 쇼핑몰 서버가 랜섬웨어에 감염됐다. 해커는 서버 내 파일을 암호화하고 확장자를 변경해 시스템 운영을 중단시킨 후 랜섬노트(협박 메시지)를 남겼다.
당시 쇼핑몰에는 900여 명의 회원이 가입돼 있었으며, 이들의 성명, 생년월일, 성별, 휴대전화번호 등 개인정보가 랜섬웨어 공격으로 훼손됐다.
개인정보위 조사 결과, 테라스타는 쇼핑몰 운영 서버에 보안 업데이트 서비스가 종료된 윈도우 운영체제를 사용하고 있었다.
또 방화벽이나 백신 프로그램을 설치·운영하지 않았고, 비밀번호·계좌번호 등을 암호화하지 않고 저장한 사실도 확인됐다.
이에 따라 개인정보위는 안전조치 의무 위반으로 개인정보가 훼손된 테라스타에 과징금 500만원과 과태료 300만원을 부과하기로 했다.
아이스트로의 경우 해커가 내부 업무관리시스템에 접근해 관리자용 계정을 생성하고, 작년 6월 7일께 업무관리시스템 서버 내 데이터 파일을 암호화한 후 랜섬노트를 남겼다.
아이스트로가 운영 중이던 업무관리시스템에는 임직원과 거래처 직원 1천991명의 개인정보가 포함돼 있었다.
하지만 아이스트로는 사고를 인지한 즉시 그룹 백업자료를 이용해 시스템과 데이터를 복구하고 서비스를 정상화했고, 개인정보위는 이를 고려해 과징금을 부과하지 않기로 했다.
다만 개인정보위는 아이스트로가 업무관리시스템 서버 내 데이터베이스 접속정보를 텍스트 파일에 암호 설정 없이 보관하고, 임직원 등의 주민등록번호를 처리하면서 취급자의 데이터베이스 접속기록을 2년 이상 저장·관리하지 않은 사실을 확인해 480만원의 과태료를 부과하기로 했다.
개인정보위는 이번 처분이 랜섬웨어로 개인정보가 암호화돼 처리가 불가능한 경우 유출 여부가 불분명하더라도 '백업 및 신속한 복구 여부, 정상적인 서비스 제공 여부 및 안전조치 여부' 등을 기준으로 개인정보 훼손을 판단한다는 입장을 명확히 한 것이라고 설명했다.
테라스타와 아이스트로 모두 서버가 랜섬웨어에 감염돼 데이터 파일이 암호화됐지만, 테라스타는 백업정보가 없어 시스템을 재구축하고 회원 개인정보를 새로 수집한 반면, 아이스트로는 백업해둔 정보로 신속히 복구해 개인정보 효용에 침해가 발생하지 않은 점을 고려했다는 것이다.
개인정보위는 "최근 랜섬웨어 시도가 빈발하고 있는 상황에서 모든 개인정보처리자가 경각심을 갖고 개인정보처리시스템의 서버 운영체제, 소프트웨어 등에 최신 보안패치를 적용해야 한다"고 강조했다.
chacha@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포, AI 학습 및 활용 금지>
관련뉴스
