개인정보위, ‘보안 구멍’ 3곳 과징금 철퇴…메타 등 시정명령 95% 이행

개인정보보호위원회(위원장 송경희, 이하 개인정보위)가 관리자 계정 관리 부실과 안전조치 미흡으로 개인정보 유출 사고를 낸 공공기관과 기업들에 엄중한 제재를 가했다. 동시에 지난 상반기 시정명령을 받은 기업들의 이행 실태를 점검해 95% 이상의 개선을 이끌어냈다.

개인정보위는 10일 제26회 전체회의를 열고 개인정보 보호 법규를 위반한 3개 사업자에 대한 제재 처분과 상반기 시정조치 이행 점검 결과를 심의·의결했다고 밝혔다.

“관리자 계정 돌려쓰고 2차 인증도 안 해”…뻥 뚫린 보안 의식

이날 제재를 받은 ▲국립항공박물관 ▲2K Games(이하 2K)▲부산국제금융진흥원 등 3곳은 모두 기본적인 ‘관리자 계정 보안’을 소홀히 했다는 공통점이 확인됐다.

국립항공박물관은 보안 불감증의 전형을 보여줬다. 박물관 측은 3개의 관리자 계정을 직원과 수탁업체 직원 등 20여 명이 공유해 사용했다. 외부에서 접속할 때 IP 주소를 제한하거나 인증서 등 안전한 인증수단(2차 인증)도 적용하지 않았다. 이 틈을 타 해커가 관리자 페이지에 접근해 회원 1만 1029명의 정보를 탈취했고, 이는 악성 앱 주소가 포함된 스미싱 문자 발송으로 이어졌다. 개인정보위는 국립항공박물관에 과징금 9800만원을 부과했다.

미국의 게임사 2K 역시 헬프데스크 시스템에 아이디와 비밀번호 외에 별도의 인증수단을 적용하지 않아 해킹을 당했다. 이로 인해 한국 이용자 1만 2천여명을 포함해 전 세계 약 400만명의 정보가 유출됐다. 2K는 유출 인지 후 24시간 내에 신고하지 않은 사실까지 더해져 총 2억 171만원의 과징금과 과태료 처분을 받았다.

부산국제금융진흥원은 방화벽 등 보안장비 없이 업무 시스템을 운영하다 랜섬웨어 공격을 받았다. 개인정보위는 정보가 외부로 유출된 정황이 명확하지 않더라도, 랜섬웨어 암호화로 인해 개인정보를 알아볼 수 없게 된 상태를 ‘훼손’으로 판단해 제재할 수 있다는 점을 분명히 하며 9900만원의 과징금 등을 부과했다.

메타·대학 등 시정명령 95% 이행

이날 개인정보위는 규제의 이행 점검 결과도 함께 공개했다. 지난 상반기 시정명령 등을 받은 108건 중 103건(약 95.3%)이 이행 완료되었거나 이행 계획이 제출된 것으로 확인됐다.

주요 사례로는 메타(Meta)가 꼽힌다. 민감정보를 수집해 맞춤형 광고에 활용했던 메타는 시정명령에 따라 ‘민감정보 기반 맞춤형 광고 타겟팅 옵션’을 삭제했다.

이 밖에도 ▲마케팅 미동의 시 보험료 계산을 막았던 손해보험사들은 동의 강제 절차를 없앴고 ▲해킹 피해를 입었던 전북대와 이화여대는 모의해킹 훈련과 24시간 보안관제 시스템을 도입해 보안을 강화했다. 네이버, 카카오 등 소셜로그인 사업자들도 연동 해지 시 개인정보가 즉시 파기되도록 기술적 안내를 보완했다.

개인정보위 관계자는 “관리자 페이지 접속 시 일회용비밀번호(OTP) 등 안전한 인증수단 적용은 필수”라며 “시정조치가 완료되지 않은 건에 대해서도 끝까지 이행을 독려하겠다”고 말했다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network