(보도참고) 개인정보위, 자산운용사 대상으로 랜섬웨어 공격 개인정보 유출조사 착수

다음은 대한민국 정부 부처에서 발표한 보도자료를 바탕으로 작성된 상세하고 포괄적인 요약입니다.

1. 핵심 요약

개인정보보호위원회(이하 개인정보위)는 2025년 9월 23일, 다수의 자산운용사로부터 개인정보 유출 신고를 접수받아 즉시 조사에 착수했습니다. 이번 유출 사고는 ㈜지제이텍이 제공하는 파일서버 서비스가 랜섬웨어 공격에 감염되면서 발생했으며, 임직원 정보 등 민감한 개인정보가 유출된 정황이 확인되었습니다. 개인정보위는 ㈜지제이텍을 중심으로 유출 경위, 피해 규모, 그리고 개인정보 안전조치 의무 준수 여부를 철저히 확인할 예정이며, 모든 사업자에게 랜섬웨어 공격에 대한 각별한 주의와 보안 강화를 당부했습니다.

2. 주요 내용

• 개인정보위의 신속한 조사 착수: 개인정보위는 2025년 9월 23일, 다수의 자산운용사로부터 개인정보 유출 신고를 접수받자마자 즉각적인 조사에 돌입했습니다. 이는 국민의 개인정보 보호를 위한 정부의 강력한 의지를 보여주는 조치입니다.
• 랜섬웨어 공격으로 인한 개인정보 유출: 이번 사고는 자산운용사들이 이용하는 파일서버 서비스가 랜섬웨어 공격에 감염되면서 발생했습니다. 랜섬웨어는 컴퓨터 시스템이나 데이터를 암호화한 뒤 이를 풀어주는 대가로 금전을 요구하는 해킹 공격으로, 최근 그 피해가 급증하고 있습니다.
• ㈜지제이텍 서비스 이용 중 발생: 개인정보 유출의 직접적인 원인은 ㈜지제이텍이 제공하는 파일서버 서비스의 보안 취약점으로 지목되었습니다. ㈜지제이텍은 자산운용사 및 금융사에 전산설비 서비스를 제공하는 업체로, 대다수 자산운용사가 해당 서비스를 이용하고 있어 피해 확산 우려가 큽니다.
• 유출된 개인정보의 종류: 현재까지 확인된 유출 정보에는 자산운용사 임직원의 정보가 포함되어 있으며, 그 외의 추가적인 개인정보 유출 가능성도 배제할 수 없습니다. 개인정보위는 조사를 통해 정확한 유출 정보의 범위와 규모를 파악할 계획입니다.
• 조사 범위 및 중점 사항: 개인정보위는 ㈜지제이텍을 중심으로 이번 랜섬웨어 공격의 구체적인 유출 경위, 실제 피해 규모, 그리고 ㈜지제이텍이 개인정보보호법상 안전조치 의무를 제대로 준수했는지 여부를 집중적으로 확인할 예정입니다. 이는 재발 방지를 위한 핵심적인 단계입니다.
• 개인정보위의 사업자 보안 강화 권고: 개인정보위는 최근 랜섬웨어를 이용한 개인정보 유출 사고가 증가하는 추세를 감안하여, 모든 사업자에게 서비스 취약점 점검, 보안 업데이트 실시, 그리고 회원 데이터베이스 등 주요 파일의 별도 백업·보관 등 각별한 주의와 보안 강화를 강력히 권고했습니다.

3. 배경 및 목적

최근 디지털 전환의 가속화와 함께 사이버 공격의 수법이 고도화되고 빈번해지면서, 특히 랜섬웨어 공격은 기업과 기관의 핵심 자산을 위협하는 심각한 문제로 부상했습니다. 금융 분야는 고객의 민감한 개인정보와 금융 자산을 다루는 특성상 사이버 공격의 주요 표적이 되기 쉬우며, 한 번의 유출 사고는 막대한 경제적 손실뿐만 아니라 국민 신뢰 하락으로 이어질 수 있습니다. 특히, 이번 사고처럼 다수의 기업이 공통으로 사용하는 외부 서비스 제공업체(서드파티)를 통한 공격은 '공급망 공격'의 형태로, 단일 지점의 취약점이 전체 산업으로 확산될 수 있는 위험성을 내포하고 있습니다.

이러한 배경 속에서 개인정보위의 이번 조사는 다음과 같은 명확한 목적을 가집니다. 첫째, 랜섬웨어 공격으로 인한 개인정보 유출의 정확한 원인과 피해 규모를 신속하게 파악하여 추가적인 피해 확산을 방지하는 것입니다. 둘째, 개인정보보호법에 따라 정보보호 의무를 다하지 않은 책임 소재를 명확히 하고, 위반 사항에 대한 엄정한 조치를 통해 관련 기업들의 경각심을 고취하는 것입니다. 셋째, 이번 사고를 계기로 금융 분야를 포함한 전 산업 분야에 걸쳐 사이버 보안 의식을 제고하고, 실질적인 개인정보 보호 조치 강화를 유도하여 국민의 소중한 개인정보를 안전하게 보호하는 데 궁극적인 목표를 두고 있습니다.

4. 세부 추진 내용

개인정보위는 이번 자산운용사 개인정보 유출 조사에 있어 체계적이고 다각적인 접근 방식을 취할 예정입니다. 먼저, 신고를 접수한 자산운용사들과 핵심 서비스 제공업체인 ㈜지제이텍에 대한 현장 조사를 실시하여 랜섬웨어 감염 경로, 공격 방식, 그리고 데이터 유출 시점 및 규모를 면밀히 파악할 것입니다. 이 과정에서 디지털 포렌식(Digital Forensics) 기법을 활용하여 서버 로그, 네트워크 트래픽, 감염된 시스템 이미지 등을 분석하여 공격의 흔적을 추적하고, 유출된 개인정보의 종류와 범위, 그리고 유출된 정보가 외부로 실제로 전송되었는지 여부를 확인할 것입니다.

또한, ㈜지제이텍이 개인정보보호법 제29조(안전조치 의무)에 따른 기술적·관리적 보호조치를 제대로 이행했는지, 그리고 개인정보 유출 사고 발생 시 제34조(개인정보 유출 통지 및 신고)에 따른 통지 및 신고 의무를 적시에 적절하게 수행했는지 등을 집중적으로 점검할 것입니다. 필요시 한국인터넷진흥원(KISA) 등 유관 기관과의 협력을 통해 전문적인 기술 지원을 확보하고, 금융위원회 등 금융 감독 기관과도 정보를 공유하여 금융 시스템 전반의 보안 강화 방안을 모색할 것입니다. 조사는 신속하게 진행하되, 정확성과 공정성을 최우선으로 하여 모든 사실관계를 명확히 규명할 계획입니다.

5. 기대 효과

이번 개인정보위의 조사를 통해 다음과 같은 구체적인 기대 효과를 얻을 수 있습니다. 첫째, 랜섬웨어 공격으로 인한 개인정보 유출 사고의 원인을 명확히 규명하고 책임 소재를 밝힘으로써, 유사 사고의 재발을 방지하고 관련 기업들의 개인정보 보호 의무 이행을 강화하는 계기가 될 것입니다. 둘째, 자산운용사를 비롯한 금융권 전반의 사이버 보안 인식과 역량을 한층 더 높여, 고객의 민감한 금융 정보와 개인정보를 더욱 안전하게 보호하는 환경을 조성할 수 있습니다. 셋째, 개인정보위의 적극적인 조치와 권고는 국민들이 자신의 개인정보가 정부 기관의 철저한 관리·감독 아래 안전하게 보호되고 있다는 신뢰를 회복하는 데 기여할 것입니다. 궁극적으로는 모든 국민의 개인정보가 안전하게 관리되는 디지털 환경을 구축하고, 사이버 위협으로부터 자유로운 사회를 만드는 데 이바지할 것으로 기대됩니다.

6. 향후 계획

개인정보위는 이번 자산운용사 개인정보 유출 조사를 신속하고 철저하게 마무리한 후, 그 결과를 투명하게 공개할 예정입니다. 조사 결과 개인정보보호법 위반 사실이 확인될 경우, 관련 법규에 따라 과태료 부과, 시정명령 등 엄정한 행정처분을 내릴 것입니다. 또한, 이번 사고를 통해 드러난 취약점을 바탕으로 금융 분야를 포함한 주요 산업 분야의 개인정보 처리 시스템에 대한 보안 강화 가이드라인을 마련하거나 기존 가이드라인을 보완할 계획입니다. 나아가, 랜섬웨어 등 고도화되는 사이버 위협에 효과적으로 대응하기 위한 정책 연구를 지속하고, 관계 부처 및 민간 보안 전문가들과의 협력을 강화하여 국가 차원의 사이버 보안 역량을 제고하는 데 힘쓸 것입니다. 개인정보위는 앞으로도 국민의 개인정보를 안전하게 보호하기 위한 감시와 감독 활동을 강화하고, 기업들의 자율적인 개인정보 보호 노력을 지원하는 데 최선을 다할 것입니다.