CloudPNG

ºC

logo
IT/바이오

개인정보위, 2K게임즈 제재…랜섬·해킹에 규제 고삐

강다은 기자
입력

개인정보 보호 규제가 해킹과 랜섬웨어 공격을 겨냥해 한층 강화되는 흐름이다. 개인정보보호위원회가 미국 게임사 2K게임즈와 부산국제금융진흥원에 과징금과 과태료를 부과하면서, 다중인증 미도입과 백업 부재, 암호화 미이행 등 기본 보안조치 위반을 정면 겨냥했다. 업계에서는 이번 결정이 국내외 사업자를 막론하고 개인정보 유출 대응 속도와 안전조치 수준을 재점검하게 만드는 분기점으로 받아들여지고 있다.  

 

개인정보위는 전날 전체회의를 열어 개인정보 보호 법규를 위반한 2K게임즈와 부산국제금융진흥원에 총 2억 8991만 원의 과징금과 1080만 원의 과태료를 부과하고, 이 같은 내용을 11일 공식 발표했다. 두 사업자는 각각 해킹과 랜섬웨어 공격으로 이용자 개인정보를 유출 또는 훼손시키고도 법에서 요구하는 수준의 안전조치를 취하지 않은 것으로 드러났다.  

2K게임즈의 위반 사안은 2022년 9월 발생한 헬프데스크 해킹 사건에서 출발했다. 당시 해커는 헬프데스크 관리 직원 계정을 탈취해 관리자 페이지에 접근했고, 국내 이용자 1만 2906명을 포함해 전 세계 약 400만 명의 헬프데스크 이용자 개인정보를 빼냈다. 이름, 이메일, IP 주소 등 기본 개인정보가 공격 대상이 됐다.  

 

조사 결과 2K게임즈는 2011년부터 헬프데스크를 운영하면서도, 개인정보취급자가 정보통신망을 통해 개인정보처리시스템에 접속할 때 아이디와 비밀번호만 사용하게 두고 일회용 비밀번호와 같은 추가 인증 수단을 적용하지 않은 것으로 확인됐다. 이는 비밀번호 유출이나 계정 탈취에 취약한 단일 인증 구조로, 최근 정보보안 분야에서 최소 요구 수준으로 자리잡은 다중인증을 도입하지 않았다는 의미다.  

 

또한 개정 전 개인정보 보호법이 요구하던 24시간 이내 유출 신고·통지 의무도 지켜지지 않았다. 2K게임즈는 공격 사실을 인지하고도 정당한 사유 없이 24시간이 지난 뒤에서야 이용자에게 유출 사실을 알렸고, 개인정보위 신고도 지연했다. 유출 자체의 심각성뿐 아니라, 사고 후 대응 속도와 이용자 통지 절차까지 제재 대상이 된 셈이다.  

 

개인정보위는 이 같은 안전조치 미흡과 신고 지연에 대해 2K게임즈에 과징금 1억 9451만 원과 과태료 720만 원을 부과했다. 글로벌 게임 플랫폼 사업자가 국내 회원 정보를 처리하는 과정에서도 한국 개인정보법 규제를 그대로 적용받는다는 점이 다시 한 번 확인됐다.  

 

국내 공공·금융 지원 기관인 부산국제금융진흥원 역시 정보 보호 관리 체계 전반에 허점을 드러냈다. 이 기관이 운영하는 내부 업무관리시스템은 2024년 6월 랜섬웨어 공격을 받아 177명의 주민등록번호 등 개인정보가 암호화됐고, 결국 복구가 불가능한 상태에 이르렀다.  

 

개인정보위 조사에서 부산국제금융진흥원은 2020년 4월 해당 시스템을 설치·운영한 이후 별도의 방화벽 등 보안 장비를 구축하지 않았던 것으로 드러났다. 또 윈도 운영체제 보안 업데이트를 최신 상태로 유지하지 않았고, 주민등록번호를 암호화하지 않은 채 저장한 사실도 확인됐다. 네트워크 경계 방어, 주기적 패치, 민감정보 암호화 등 기본적인 보안 요구사항을 동시에 어긴 셈이다.  

 

랜섬웨어 공격은 통상 시스템 내 데이터 파일을 강제 암호화해 사용자 접근을 차단하는 방식으로 이뤄진다. 이번 사례에서 개인정보는 외부 유출 여부가 명확히 드러나지 않았지만, 암호화로 인해 정상적인 열람과 처리가 불가능해졌다. 개인정보위는 이런 상태를 단순한 서비스 장애가 아닌 개인정보 훼손으로 간주하고, 안전조치 의무 위반에 대한 과징금 9540만 원과 과태료 360만 원을 부과하기로 했다.  

 

개인정보위는 이번 처분을 통해 랜섬웨어 공격으로 개인정보가 암호화돼 이용자 대상 서비스 제공이 중단되는 경우, 실제 외부 반출 여부가 불분명하더라도 개인정보 훼손으로 판단해 제재할 수 있다는 입장을 재확인했다. 단순한 유출 중심에서 벗어나, 개인정보의 가용성과 무결성이 상실된 상황 전체를 규제 범위로 본다는 해석이 가능하다.  

 

위원회는 사업자에게 주요 개인정보 데이터베이스와 핵심 파일을 별도 저장소에 주기적으로 백업하고, 네트워크 분리 또는 비상 복구 체계를 마련하는 등 기본적인 사이버 복원력 확보가 필요하다고 강조했다. 또한 관리자 페이지와 같은 개인정보처리시스템에 원격 접속할 때는 아이디와 비밀번호 외에 일회용 비밀번호와 같은 안전한 인증 수단을 필수적으로 적용하라고 권고했다.  

 

정보보안 업계와 법조계에서는 이번 조치가 게임사와 공공기관을 막론한 전방위 압박 신호로 받아들여지고 있다. 클라우드 기반 서비스, 글로벌 게임 플랫폼, 금융·공공 시스템 모두에서 최소한의 보안 통제와 사고 대응 절차를 명문화하고, 이를 어길 경우 경제적 제재가 뒤따를 수 있다는 메시지다. 산업계는 이번 제재 수준과 판단 기준을 참고해 다중인증 도입, 암호화 강화, 주기적 백업과 패치 관리 등 기본 보안조치를 실제 현장에 얼마나 빠르게 반영할 수 있을지 주시하고 있다.

강다은 기자
share-band
밴드
URL복사
#개인정보위#2k게임즈#부산국제금융진흥원