개인정보보호위원회가 개인정보 보호 법규를 위반한 두 사업자에 대해 총 3억여 원의 과징금과 과태료를 부과했다. 제재 대상은 미국 게임회사 2K Games와 사단법인 부산국제금융진흥원으로, 개인정보위는 이들의 위반 사실을 홈페이지에 1년간 공표하기로 결정했다.

조사 결과, 2K는 게임 헬프데스크 시스템이 해킹당하면서 국내 이용자 1만2천여 명을 포함한 전 세계 약 400만 명의 개인정보가 유출됐다. 유출된 정보에는 이름, 이메일, IP 주소, 이용 게임명, 문의 내용 등이 포함돼 있었다. 특히 2011년부터 운영하던 헬프데스크에 OTP 등 추가 인증수단을 적용하지 않아 보안이 허술했으며, 2022년 9월 유출 사실을 인지하고도 24시간 내 신고·통지를 하지 않아 법정 기한을 어긴 것으로 확인됐다.

부산국제금융진흥원은 랜섬웨어 공격을 받아 직원 등 177명의 개인정보가 훼손됐다. 해커는 3일간 수백 차례 무차별 로그인 시도를 통해 시스템에 침입해 파일을 암호화하고 협박 메시지를 남겼다. 시스템에는 주민등록번호 등 민감 정보가 저장돼 있었으나 방화벽 등 기본 보안장비가 설치돼 있지 않았고, 운영체제 보안 업데이트도 최신 상태가 아니었다. 주민등록번호를 암호화하지 않고 저장한 사실도 드러났다.

개인정보위는 2K에 과징금 1억9천여만 원과 과태료 720만 원을, 부산국제금융진흥원에 과징금 9천5백여만 원과 과태료 360만 원을 부과했다. 두 기관 모두 개인정보보호법 제29조의 안전성 확보조치를 위반한 것으로 판단됐으며, 각각 통지·신고 의무 위반과 고유식별정보 처리제한 위반이 추가로 확인됐다.

개인정보위는 “랜섬웨어로 개인정보가 암호화돼 유출 여부가 명확하지 않더라도 정상적인 서비스 제공이 불가능해지면 개인정보 훼손으로 본다”며, 사업자들에게 관리자 페이지 OTP 적용, 정기 백업, 최신 보안 업데이트 등 기술적·관리적 보호조치 강화를 당부했다.