개인정보보호위원회가 개인정보 보호법 위반으로 두 개 기업에 제재를 내렸다.

위원회는 통신판매업체 ㈜테라스타에 과징금 500만 원과 과태료 300만 원을, 냉동식품 기기 제조사 ㈜아이스트로에는 과태료 480만 원을 부과하기로 결정했다.

테라스타는 지난해 쇼핑몰 서버가 랜섬웨어에 감염돼 회원 900여 명의 개인정보가 훼손됐다. 조사 결과, 보안 업데이트가 중단된 운영체제를 사용하고 있었고 방화벽과 백신 프로그램도 운영하지 않은 채 비밀번호와 계좌번호를 암호화하지 않고 저장한 것으로 드러났다.

아이스트로 역시 해킹으로 내부 업무관리시스템이 암호화됐으나, 백업 자료로 빠르게 복구해 서비스 중단은 발생하지 않았다. 그러나 데이터베이스 접속 정보를 암호화 없이 보관하고 주민등록번호 처리 시 접속 기록을 2년 이상 저장하지 않은 점이 적발돼 과태료 처분을 받았다.

개인정보위는 “랜섬웨어로 인한 데이터 암호화도 개인정보 훼손으로 판단하며, 백업과 복구 여부 및 안전조치 이행 여부를 기준으로 과징금 부과 여부를 결정한다”고 밝혔다. 이어 모든 개인정보처리자에게 보안 패치와 백신 사용, 정기적 백업 등 철저한 관리 강화를 당부했다.