개인정보위, 랜섬웨어 등으로 개인정보가 유출, 삭제된 2개 사업자 제재

다음은 대한민국 정부 부처에서 발표한 보도자료를 바탕으로 작성된 상세 요약입니다.

1. 핵심 요약

개인정보보호위원회(이하 ‘개인정보위’)는 2025년 7월 23일 제16회 전체회의를 통해 랜섬웨어 공격 및 보안 취약점으로 인해 개인정보가 유출되거나 삭제된 ㈜해성디에스와 (재)전남테크노파크 두 사업자에 대해 총 4억 4,460만 원의 과징금 및 과태료를 부과하고 홈페이지 등에 공표하도록 명령했습니다. ㈜해성디에스는 SSL-VPN 장비의 취약점 미조치로 73,975명의 개인정보가 유출되고 랜섬웨어에 감염되었으며, (재)전남테크노파크는 취약한 계정 관리, 미흡한 접근 통제, 그리고 개인정보 유출 사실을 72시간 내에 신고하지 않은 지연 신고 등으로 약 1,200명의 개인정보가 삭제되는 피해를 입었습니다. 이번 제재는 개인정보처리자의 철저한 안전조치 의무와 신속한 유출 신고 의무의 중요성을 강조하며, 유사 사고 재발 방지를 위한 경각심을 고취하는 데 목적이 있습니다.

2. 주요 내용

• ㈜해성디에스 개인정보 유출 및 랜섬웨어 감염 사건: ㈜해성디에스는 2023년 10월 11일, 신원 미상의 해커가 운영 중인 SSL-VPN(Secure Sockets Layer-Virtual Private Network: 인터넷과 같은 공용 네트워크에서 안전하고 암호화된 연결을 제공하는 가상 사설망 기술) 장비의 취약점을 악용하여 사내망에 침입하는 사고를 겪었습니다. 이로 인해 내부 파일 서버에 저장되어 있던 주주, 임직원, 협력사 직원 등 총 73,975명의 개인정보가 외부로 유출되었으며, 동시에 내부 시스템에 랜섬웨어(컴퓨터 시스템이나 데이터를 암호화한 뒤 복호화 키를 조건으로 금전을 요구하는 악성코드) 파일이 배포 및 감염되었습니다.
• ㈜해성디에스 위반 내용 및 제재: 조사 결과, ㈜해성디에스는 해당 SSL-VPN 장비 제조사와 한국인터넷진흥원(KISA)으로부터 2023년 2월부터 취약점 보안 업데이트가 필요하다는 공지를 받았음에도 불구하고, 해킹 사고 발생 시점까지 이를 이행하지 않은 사실이 확인되었습니다. 또한, 해커의 유출 활동 기간(2023.10.11.~10.29.) 동안 일부 시스템에서 백신 동작 이력이 없는 등 악성프로그램 방지·치료 기능 운영이 소홀했던 점도 드러났습니다. 이에 개인정보위는 개인정보 보호법 제29조(안전조치 의무) 위반으로 3억 4,300만 원의 과징금과 처분 사실 공표 명령을 부과했습니다.
• (재)전남테크노파크 개인정보 삭제 및 랜섬웨어 피해 사건: (재)전남테크노파크는 2023년 11월 23일경, 해커가 운영 중인 전남과학기술정보시스템 내 개인정보처리시스템에 무단 접근하여 약 1,200명의 성명, 휴대전화번호, 이메일주소, 소속기관 정보 등이 포함된 데이터베이스를 모두 삭제하고 금전을 요구하는 랜섬노트를 남기는 피해를 입었습니다. 이 사건은 개인정보의 유출뿐만 아니라 데이터의 심각한 훼손으로 이어졌습니다.
• (재)전남테크노파크 위반 내용 (안전조치 의무): 조사 결과, 테크노파크는 처리시스템 취급자 계정에 'myusername', '123456789'와 같이 유추하기 쉬운 아이디와 비밀번호를 사용했으며, 이용자 비밀번호를 안전하지 않은 MD5(Message-Digest Algorithm 5: 단방향 해시 함수로, 암호화에는 부적합한 구형 방식) 방식으로 암호화하고 로그인 시 비밀번호를 암호화하지 않고 전송하는 등 취약한 보안 관리를 보였습니다. 또한, 시스템 접속 권한을 IP 주소 등으로 제한하거나 불법 접근 시도를 탐지·차단하지 않았고, 접속 기록도 보관·관리하지 않는 등 개인정보 보호법 제29조(안전조치 의무)를 위반했습니다.
• (재)전남테크노파크 위반 내용 (유출 통지·신고 의무) 및 제재: 테크노파크는 2024년 11월 23일 개인정보 훼손 사실을 인지했음에도 불구하고, 정당한 사유 없이 72시간을 경과한 2024년 11월 30일에야 개인정보 유출 신고를 했고, 2024년 12월 1일에 홈페이지에 유출 사실을 게시했습니다. 이는 개인정보 보호법 제34조 제1항 및 제3항(개인정보 유출 통지·신고 의무)을 위반한 것입니다. 이에 개인정보위는 안전조치 의무 위반 및 유출 통지·신고 의무 위반으로 9,800만 원의 과징금과 360만 원의 과태료를 부과하고 공표 명령을 내렸습니다.
• SSL-VPN 등 보안 장비 취약점 악용 사례 증가 경고: 이번 ㈜해성디에스 사례에서 확인되었듯이, SSL-VPN 등 보안 장비의 취약점을 악용한 해킹 및 개인정보 유출 사례가 최근 증가하고 있습니다. 개인정보위는 VPN 등 보안 장비를 이용하는 모든 사업자들에게 보안 장비 업데이트와 보안 설정 점검에 각별히 유의할 것을 당부하며, 이는 제조업 등 다양한 산업 분야에서 발생하는 랜섬웨어 감염 및 개인정보 유출 사고를 예방하는 데 필수적임을 강조했습니다.

3. 배경 및 목적

이번 개인정보보호위원회의 제재 조치는 최근 급증하고 있는 랜섬웨어 공격 및 다양한 형태의 사이버 침해 사고로부터 국민의 소중한 개인정보를 보호하기 위한 강력한 의지를 반영합니다. 특히, 제조업 등을 중심으로 개인정보를 노린 랜섬웨어 감염 및 유출 사례가 빈번하게 발생하면서, 개인정보처리자의 책임 있는 보안 관리의 중요성이 더욱 부각되고 있습니다. 과거에는 단순한 개인정보 유출에 초점이 맞춰졌다면, 최근에는 랜섬웨어로 인한 데이터 삭제 및 훼손, 그리고 이에 따른 기업 운영 마비 등 피해 양상이 더욱 복합적이고 심각해지고 있습니다.

주요 목적은 개인정보 보호 법규를 위반하여 국민의 개인정보를 유출하거나 훼손한 사업자에게 합당한 책임을 물어 유사 사례의 재발을 방지하고, 모든 개인정보처리자가 정보보호 의무를 철저히 이행하도록 경각심을 고취하는 데 있습니다. 이를 통해 안전한 개인정보 처리 환경을 조성하고, 정보주체의 권리를 실질적으로 보호하며, 궁극적으로는 디지털 사회에서 개인정보가 안전하게 관리되고 있다는 국민적 신뢰를 구축하는 것이 이번 조치의 핵심 배경이자 목표입니다.

4. 세부 추진 내용

개인정보보호위원회는 개인정보 유출 신고가 접수되면 즉시 한국인터넷진흥원(KISA) 등 유관 기관과 협력하여 관련 조사에 착수하고 위반 내용을 구체적으로 파악합니다. 이번 사례들 역시 유출 신고에 따라 조사가 진행되었으며, 각 사업자의 개인정보 보호 법규 위반 여부와 그 심각성을 면밀히 검토했습니다. 조사를 통해 확인된 위반 사실에 대해서는 개인정보보호위원회 전체회의를 통해 최종 제재 수위를 결정하고, 개인정보 보호법에 따라 과징금 및 과태료 부과와 함께 처분 사실을 해당 사업자의 홈페이지 등에 공표하도록 명령합니다. 이는 위반 사실을 투명하게 공개하여 정보주체의 알 권리를 보장하고, 다른 사업자들에게도 경고 메시지를 전달하는 효과를 가집니다.

또한, 개인정보위는 이번 제재와 더불어 모든 개인정보처리자가 랜섬웨어 등 사이버 공격에 효과적으로 대응할 수 있도록 구체적인 예방 및 대응 방법을 제시하고 있습니다. 이는 ▲서버와 소프트웨어(SW) 등 최신 보안패치 신속 적용, ▲회원 정보 등 주요 개인정보 파일에 대한 일간/주간/월간 백업 계획 수립 및 2차 백업 등 백업 및 복구 체계 마련·운영, ▲개인정보처리시스템 등에 대한 최소 접근권한 적용 및 이력 관리, 특히 VPN(가상 사설망)으로 외부 접속 시 다중인증 적용 등 접근 통제 및 권한 관리 강화, ▲백신 소프트웨어 설치 및 최신 버전 유지, 실시간 감시 기능 활성화, 주기적인 악성코드 검사 수행, ▲파일 서버, PC 등에 개인정보가 포함된 파일 보관 시 암호화 또는 DRM(Digital Rights Management: 디지털 저작권 관리 기술로, 정보 유출 시에도 내용 보호에 활용 가능) 적용으로 외부 유출에 따른 피해 최소화 등을 포함합니다. 이러한 권고 사항들은 사업자들이 스스로 보안 수준을 높이고 잠재적 위협에 대비할 수 있도록 돕는 실질적인 가이드라인 역할을 합니다.

5. 기대 효과

이번 개인정보보호위원회의 강력한 제재 조치는 개인정보처리자들에게 정보보호 의무 이행의 중요성을 다시 한번 각인시키는 계기가 될 것입니다. 이를 통해 기업과 기관들은 운영 중인 서비스의 취약점을 주기적으로 점검하고, 보안 업데이트를 신속하게 적용하며, 개인정보 데이터베이스 등 핵심 자산에 대한 별도 백업 및 보관 체계를 강화하는 등 전반적인 보안 수준을 향상시킬 것으로 기대됩니다. 특히, SSL-VPN과 같은 보안 장비의 취약점 관리에 대한 인식이 높아져 관련 사고가 감소할 것으로 예상됩니다. 궁극적으로는 개인정보 유출 및 훼손 사고를 미연에 방지하고, 설령 사고가 발생하더라도 피해를 최소화하여 정보주체인 국민의 개인정보가 더욱 안전하게 보호되는 환경을 조성하는 데 기여할 것입니다. 이는 국민들이 자신의 개인정보가 안전하게 관리되고 있다는 신뢰를 높이는 효과로 이어져, 디지털 경제 활성화에도 긍정적인 영향을 미칠 것입니다.

6. 향후 계획

개인정보보호위원회는 앞으로도 개인정보 유출 및 오용 사례에 대한 감시를 강화하고, 위반 사업자에 대해서는 엄정한 법 집행을 지속할 계획입니다. 특히, SSL-VPN 취약점 악용 사례와 같이 최근 증가하는 특정 유형의 사이버 공격에 대한 주의를 환기하고, 관련 보안 가이드라인을 지속적으로 업데이트하여 사업자들이 변화하는 위협 환경에 효과적으로 대응할 수 있도록 지원할 예정입니다. 또한, 한국인터넷진흥원(KISA) 등 유관 기관과의 긴밀한 협력을 통해 정보보호 역량 강화를 위한 교육 및 컨설팅을 확대하고, 중소기업 등 보안 취약 계층에 대한 지원을 강화할 것입니다. 나아가, 국민 개개인의 개인정보 보호 인식 제고를 위한 캠페인도 꾸준히 전개하여 안전하고 신뢰할 수 있는 디지털 환경을 구축하는 데 선도적인 역할을 수행할 것입니다.