개인정보보호위원회는 랜섬웨어 공격 등으로 개인정보가 유출되거나 삭제된 두 개 사업자에 대해 총 4억 4,460만 원의 과징금 및 과태료를 부과했다고 24일 밝혔다.

위원회는 지난 7월 23일 제16회 전체회의를 열고, SSL-VPN 장비의 보안 취약점을 방치하거나 기본적인 보안조치를 소홀히 해 개인정보를 유출·삭제당한 ㈜해성디에스와 (재)전남테크노파크에 대한 제재 조치를 의결했다.

㈜해성디에스는 사내 SSL-VPN 장비의 보안 취약점을 해커가 악용해 사내망에 침입당했고, 이로 인해 약 7만 3천여 명의 주주 및 임직원, 협력사 직원 개인정보가 유출됐다. 해커는 또한 랜섬웨어를 유포해 사내 파일 서버를 감염시킨 것으로 확인됐다. 장비 제조사 및 관계기관이 관련 취약점을 공지했음에도 불구하고 보안 패치를 미적용한 점, 백신 프로그램이 작동하지 않은 일부 시스템이 존재한 점 등도 위반 사항으로 지적됐다.

이 사건에 대해 위원회는 해성디에스에 과징금 3억 4,300만 원을 부과하고, 자사 홈페이지에 해당 사실을 공표하도록 명령했다.

전남테크노파크의 경우, 전남과학기술정보시스템 홈페이지 내 개인정보처리시스템이 해커의 공격을 받아 DB 전체가 삭제되었으며, 금전을 요구하는 랜섬노트가 남겨졌다. 당시 시스템에는 약 1,200명의 개인정보가 저장돼 있었다. 조사 결과, 취약한 아이디 및 비밀번호 사용, 안전하지 않은 암호화 방식(MD5) 활용, 접속기록 미관리, 접속권한 미제한 등 기본적인 보안조치 미흡이 확인됐다. 또한 유출 사실을 인지한 뒤 72시간을 넘겨 신고하는 등 법적 절차도 위반한 것으로 나타났다.

이에 따라 위원회는 전남테크노파크에 과징금 9,800만 원과 과태료 360만 원을 부과하고, 홈페이지 공표를 명령했다.

위원회는 최근 제조업 등에서 랜섬웨어 감염 사례가 증가하는 추세라며, 사업자들이 보안 업데이트 및 데이터 백업 체계를 강화하고, 최소 권한 원칙에 따라 개인정보처리시스템을 운용해야 한다고 강조했다.