개인정보위, 개인정보 보호법규 위반 2개 사업자 제재

다음은 대한민국 정부 부처인 개인정보보호위원회에서 발표한 보도자료를 바탕으로 작성된 상세하고 포괄적인 요약입니다.

1. 핵심 요약

개인정보보호위원회(이하 '개인정보위')는 2025년 9월 24일 제21회 전체회의를 통해 개인정보 보호 법규를 위반한 ㈜테라스타와 ㈜아이스트로 두 사업자에 대해 총 1,280만 원의 과징금 및 과태료를 부과했습니다. ㈜테라스타는 랜섬웨어 공격으로 900여 명의 회원 개인정보가 훼손되었음에도 불구하고 미흡한 안전조치와 백업 부재로 과징금 500만 원과 과태료 300만 원을 부과받았습니다. 반면, ㈜아이스트로는 1,991명의 임직원 및 거래처 직원 정보가 랜섬웨어에 감염되었으나 신속한 백업 복구로 개인정보 훼손을 막아 과징금 없이 과태료 480만 원이 부과되었습니다. 이번 조치는 랜섬웨어로 인한 개인정보 훼손 시 백업 및 복구 여부가 과징금 부과에 중요한 기준임을 명확히 했습니다.

2. 주요 내용

• 개인정보위의 제재 결정 및 대상:
  2025년 9월 24일, 개인정보보호위원회는 제21회 전체회의를 통해 개인정보 보호 법규를 위반한 ㈜테라스타(통신판매업자)와 ㈜아이스트로(냉동식품 기기 제조사)에 대한 제재를 의결했습니다. 이는 개인정보 보호법 제29조(안전조치 의무) 위반에 따른 조치로, 총 1,280만 원의 과징금 및 과태료가 부과되었습니다.

• ㈜테라스타의 위반 내용 및 처분:
  ㈜테라스타는 2023년 11월 26일경 해커의 랜섬웨어 공격으로 쇼핑몰 서버가 감염되어 900여 명 회원의 성명, 생년월일, 성별, 휴대전화번호 등 개인정보가 훼손(조작, 일부 삭제 또는 변경되어 본래 가치를 손상)되었습니다. 개인정보위 조사 결과, 보안 업데이트 서비스가 종료된 윈도우 운영체제 사용, 방화벽 및 백신 프로그램 미설치, 비밀번호·계좌번호 등 중요 개인정보 미암호화 등 안전조치 의무 위반이 확인되어 과징금 500만 원과 과태료 300만 원이 부과되었습니다.

• ㈜아이스트로의 위반 내용 및 처분:
  ㈜아이스트로는 2024년 6월 7일경 해커의 공격으로 내부 업무관리시스템이 랜섬웨어에 감염되어 임직원과 거래처 직원 1,991명의 개인정보가 포함된 데이터 파일이 암호화되었습니다. 사고 인지 즉시 일일 백업 자료를 활용해 시스템과 데이터를 복구하고 서비스를 정상화했으나, 업무관리시스템 서버 내 DB(데이터베이스) 접속정보를 암호 설정 없이 텍스트 파일에 보관하고, 임직원 등의 주민등록번호 처리 시 취급자의 DB 접속기록을 2년 이상 저장·관리하지 않은 안전조치 의무 위반이 추가 확인되어 과태료 480만 원이 부과되었습니다. 신속한 복구로 개인정보 효용 침해를 막은 점이 고려되어 과징금은 부과되지 않았습니다.

• 과징금 부과 기준의 명확화:
  이번 처분은 개인정보위가 랜섬웨어로 인해 개인정보가 암호화(접근 불가)되어 처리가 불가능한 경우, 유출 여부가 불분명하더라도 '백업 및 신속한 복구 여부', '정상적인 서비스 제공 여부', '안전조치 유무' 등을 종합적으로 고려하여 '개인정보 훼손'으로 판단하고 과징금을 부과할 수 있다는 입장을 명확히 했습니다. 이는 개인정보 보호법 제29조(안전조치 의무) 및 제64조의2(유출 외 분실·도난·위조·변조·훼손 등에도 과징금 부과 가능)에 근거합니다.

• 백업 및 복구 시스템의 중요성 강조:
  ㈜테라스타는 백업 정보가 없어 시스템을 재구축하고 회원 개인정보를 새로 수집해야 했던 반면, ㈜아이스트로는 백업해 둔 정보로 신속히 복구하여 개인정보 효용 침해를 막았습니다. 이처럼 랜섬웨어 공격 시 백업 및 신속한 복구 능력 유무가 개인정보 훼손 정도와 과징금 부과 여부를 결정하는 핵심 요소로 작용했음을 보여주는 사례입니다.

• 개인정보처리자의 보안 강화 당부:
  개인정보위는 최근 랜섬웨어 시도가 빈번하게 발생하고 있는 상황에 대해 모든 개인정보처리자(개인정보를 처리하는 기업이나 기관)가 경각심을 갖고, 개인정보처리시스템의 서버 운영체제(OS) 및 소프트웨어(SW)에 최신 보안패치를 적용할 것을 강조했습니다. 또한, 백신 소프트웨어로 악성코드 검사를 수행하고, 개인정보 데이터베이스 등 주요 파일은 주기적으로 별도 백업·보관하는 등 각별한 주의를 당부했습니다.

3. 배경 및 목적

최근 랜섬웨어 공격은 전 세계적으로 급증하며 기업 및 기관의 개인정보처리 시스템을 심각하게 위협하고 있습니다. 이러한 공격은 단순히 개인정보의 유출을 넘어, 데이터를 암호화하여 접근 및 사용을 불가능하게 만들고, 이로 인해 서비스 중단 및 막대한 경제적 손실을 초래하는 심각한 '개인정보 훼손' 사례로 이어지고 있습니다. 기존에는 개인정보 유출에 대한 제재에 초점이 맞춰져 있었으나, 랜섬웨어로 인한 데이터 암호화는 유출 여부가 불분명하더라도 정보의 효용을 상실하게 한다는 점에서 새로운 형태의 침해로 인식되고 있습니다. 대한민국 개인정보보호위원회는 이러한 변화하는 사이버 위협에 대응하고 개인정보처리자의 안전조치 의무를 강화하기 위해 이번 제재 조치를 추진하게 되었습니다.

이번 조치의 주된 목적은 개인정보 보호 법규를 위반하여 개인정보 훼손을 초래한 사업자에게 합당한 책임을 묻고, 이를 통해 모든 개인정보처리자에게 개인정보 보호의 중요성에 대한 경각심을 고취하는 것입니다. 특히, 랜섬웨어로 인한 개인정보 암호화 사례에서 '개인정보 훼손'의 판단 기준과 과징금 부과 원칙을 명확히 제시함으로써, 사업자들이 백업 시스템 구축 및 신속한 복구 체계 마련 등 실질적인 안전조치에 투자하도록 유도하는 데 있습니다. 궁극적으로는 국민의 소중한 개인정보를 사이버 위협으로부터 더욱 안전하게 보호하고, 디지털 사회의 신뢰를 확보하는 데 기여하고자 합니다.

4. 세부 추진 내용

개인정보보호위원회는 이번 제재 조치를 위해 한국인터넷진흥원(KISA)과 공동으로 위반 사업자들에 대한 심층적인 조사를 수행했습니다. 조사는 각 사업자의 개인정보처리 시스템 운영 현황, 랜섬웨어 감염 경위, 개인정보 보호법 제29조에 명시된 안전조치 의무 이행 여부, 그리고 사고 발생 후의 대응 및 복구 노력 등을 면밀히 분석하는 방식으로 진행되었습니다.

조사 결과, ㈜테라스타의 경우 2023년 11월 26일 랜섬웨어 감염 당시 보안 업데이트 서비스가 2023년 10월 10일자로 종료된 윈도우 운영체제를 사용하고 있었으며, 방화벽이나 백신 프로그램을 설치·운영하지 않았고, 비밀번호 및 계좌번호 등 중요 개인정보를 암호화하지 않고 저장하는 등 기본적인 안전조치 의무를 심각하게 위반한 사실이 드러났습니다. 또한, 백업 시스템이 제대로 갖춰져 있지 않아 랜섬웨어 감염으로 900여 명의 회원 개인정보가 훼손되었음에도 불구하고 신속한 복구가 불가능하여 시스템을 재구축하고 회원가입을 새로 받아야 했습니다. ㈜아이스트로의 경우에도 2024년 6월 7일 랜섬웨어 감염 사고에서 내부 업무관리시스템 서버 내 DB(데이터베이스) 접속정보를 암호 설정 없이 텍스트 파일에 보관하고, 임직원 등의 주민등록번호 처리 시 취급자의 DB 접속기록을 2년 이상 저장·관리하지 않는 등 안전조치 의무 위반이 확인되었습니다. 그러나 ㈜아이스트로는 사고 인지 즉시 일일 백업 자료를 활용하여 시스템과 데이터를 신속하게 복구하고 서비스를 정상화함으로써 개인정보의 효용 침해를 최소화한 점이 과징금 부과 여부를 결정하는 중요한 요소로 작용했습니다. 개인정보위는 이러한 조사 결과를 바탕으로 2025년 9월 24일 제21회 전체회의에서 각 사업자에 대한 과징금 및 과태료 부과를 최종 의결했습니다.

5. 기대 효과

이번 개인정보위의 제재 조치는 여러 긍정적인 기대 효과를 가져올 것으로 예상됩니다. 첫째, 모든 개인정보처리자, 특히 중소기업들에게 랜섬웨어 등 사이버 공격에 대한 경각심을 높이고, 개인정보 보호를 위한 안전조치 의무의 중요성을 다시 한번 일깨우는 계기가 될 것입니다. 둘째, 백업 및 신속한 복구 시스템 구축의 중요성을 명확히 함으로써, 기업들이 재난 복구 계획(DRP: Disaster Recovery Plan)을 포함한 실질적인 보안 투자와 대비책 마련에 적극적으로 나서도록 유도할 것입니다. 셋째, '개인정보 훼손'에 대한 명확한 판단 기준과 과징금 부과 원칙이 제시됨으로써, 유사 사고 발생 시 사업자들의 책임 있는 대응을 촉진하고, 개인정보 유출 여부가 불분명한 상황에서도 피해를 최소화하기 위한 노력을 강화하게 될 것입니다. 궁극적으로는 국민의 소중한 개인정보가 더욱 안전하게 보호되고, 디지털 환경에서 개인정보를 다루는 기업들에 대한 신뢰도가 향상되어 건전한 디지털 생태계 조성에 기여할 것으로 기대됩니다.

6. 향후 계획

개인정보보호위원회는 이번 제재 조치에 그치지 않고, 앞으로도 개인정보 보호 법규 준수 여부에 대한 지속적인 모니터링과 점검을 강화할 계획입니다. 특히, 랜섬웨어와 같은 신종 사이버 위협에 대한 개인정보처리자들의 대응 역량을 높이기 위해 최신 보안패치 적용, 백신 소프트웨어 운영, 주기적인 백업 및 복구 훈련 등 필수적인 안전조치 이행을 적극적으로 독려할 것입니다. 또한, 중소기업 등 보안 취약 계층을 대상으로 개인정보 보호 교육 및 컨설팅을 확대하여 사전 예방 활동을 강화하고, 개인정보 침해 사고 발생 시 신속하고 효과적인 대응이 이루어질 수 있도록 관련 가이드라인을 지속적으로 보완하고 홍보할 예정입니다. 이러한 노력을 통해 개인정보 침해 사고를 미연에 방지하고, 국민들이 안심하고 디지털 서비스를 이용할 수 있는 환경을 조성하는 데 최선을 다할 것입니다.