“랜섬웨어에 무방비”…테라스타·아이스트로, 개인정보법 위반 제재

개인정보보호 시스템 부실이 반복 노출되며 산업계 전반에 데이터보호 경각심이 커지고 있다. 개인정보보호위원회는 최근 개인정보보호법규를 위반한 테라스타와 아이스트로 두 기업에 각각 과징금과 과태료 처분을 내렸다. 화장품 등 생활필수품을 판매하는 테라스타는 서버가 랜섬웨어 공격을 받아 900여 회원의 성명, 생년월일, 연락처 등 개인정보가 훼손됐다. IT 조사 결과, 테라스타는 보안 업데이트가 종료된 구형 윈도우 운영체제를 사용했고, 방화벽이나 바이러스 백신 등 기본 보안 조치도 미흡했다. 또한 비밀번호, 계좌번호 등 민감정보를 평문 형태로 저장해 심각한 보안 취약점이 드러났다.

아이스트로의 경우에도 해커가 내부 업무관리시스템에 침입해 관리자 계정을 만들어 데이터 파일을 암호화했다. 해당 시스템에는 임직원 및 거래처 직원 등 1991명의 개인정보가 포함돼 있었다. 아이스트로는 위기 직후 매일 백업해둔 데이터를 활용해 시스템을 복구하며 서비스 중단 장기화를 막았다. 다만, 개인정보위 조사 결과 데이터베이스 접속정보를 암호화 없이 텍스트 파일로 보관하고, 주민등록번호 등 주요 개인정보의 접근기록도 법정 최소기간인 2년 이상 관리하지 않은 것으로 확인돼 추가 과태료가 부과됐다.

특히 두 기업 모두 기본적인 보안 인프라와 데이터 암호화, 접근통제 등 필수조치 미흡이 본질적 원인으로 지목된다. 기존의 계정관리, 취약 서버 방치 등 전통적 IT 리스크가 침해 피해를 극대화시킨 셈이다. 미국과 유럽 등 개인정보보호 일반규정(GDPR)을 준수하는 글로벌 시장과 달리, 국내 사업자 다수는 시스템 기본보호와 운영환경 점검 등 실질적 대비가 부족한 실정으로 지적된다.

업계에서는 이번 사건이 데이터 사고 예방을 위한 실제 가이드라인 이행과 자동화된 보안관제, 해킹 대응 프로세스 강화를 촉진할 분기점이 될 것으로 내다보고 있다. 개인정보위는 “법과 원칙을 기반으로 한 엄격한 관리·감독과 기술적 보호조치가 없이는 정보화 시대 신뢰 구축이 어렵다”는 입장을 밝혔다. 산업계는 이번 제재 사례를 계기로 보안 인프라와 데이터보호 문화 혁신이 실제 시장에 안착할 수 있을지 주시하고 있다.