개인정보위, 랜섬웨어 피해 테라스타·아이스트로 제재

개인정보보호위원회가 랜섬웨어 공격으로 개인정보가 훼손된 기업에 과징금을 부과하며 유출 여부와 상관없이 안전조치·복구 여부를 기준으로 과징금을 부과한다는 원칙을 처음으로 명확히 했다.

개인정보위는 24일 제21회 전체회의를 열고 화장품·생활필수품 온라인 판매업체 테라스타에 과징금 500만 원과 과태료 300만 원을, 냉동식품 기기 제조업체 아이스트로에는 과태료 480만 원을 각각 부과하기로 의결했다고 25일 밝혔다.

테라스타는 지난해 11월 운영 중이던 쇼핑몰 서버가 랜섬웨어에 감염돼 회원 900여 명의 개인정보가 암호화·훼손됐다. 조사 결과, 해당 서버는 이미 보안 업데이트 지원이 종료된 윈도우 운영체제를 사용하고 있었으며 방화벽·백신 프로그램이 설치되지 않았고 비밀번호·계좌번호 등의 주요 정보도 암호화 없이 저장된 것으로 드러났다.

테라스타는 백업 정보가 없어 서버를 재구축하고 회원가입을 새로 받는 방식으로 서비스를 재개했으며 개인정보위는 이를 안전조치 의무 위반으로 보고 과징금 500만 원과 과태료 300만 원을 부과했다.

아이스트로는 6월 내부 업무관리시스템이 랜섬웨어에 감염돼 임직원과 거래처 직원 1991명의 개인정보가 암호화됐다. 그러나 일일 백업 자료로 시스템을 복구해 개인정보 효용 침해는 발생하지 않았다.

다만 데이터베이스(DB) 접속정보를 암호화 없이 텍스트 파일로 보관했고 주민등록번호 처리 시 취급자 접속기록을 2년 이상 보관하지 않은 사실이 확인돼 과태료 480만 원이 부과됐다.

개인정보위는 이번 제재를 통해 랜섬웨어로 개인정보가 암호화돼 처리 불가 상태가 되면 유출 여부와 관계없이 ‘훼손’으로 판단한다”는 기준을 제시했다. 특히 △백업 여부 △신속 복구 가능성 △안전조치 이행 여부가 과징금 부과의 핵심 판단 근거임을 분명히 했다.

개인정보위는 "최근 랜섬웨어 시도가 빈발하고 있는 상황에 대해 모든 개인정보처리자가 경각심을 갖고 개인정보처리시스템의 서버 운영체제, SW 등에 최신 보안패치를 적용하는 것은 물론, 백신 소프트웨어로 악성코드 검사를 수행하도록 해야 한다"며 개인정보 데이터베이스 등 주요 파일은 주기적으로 별도 백업·보관하는 등 각별한 주의를 당부했다.