개인정보보호위원회는 해커 공격을 받아 주주 정보 등 7만여 명의 개인정보를 유출당한 반도체 부품업체 해성디에스(195870)에 과징금 3억 4300만 원을 부과했다.
개인정보위는 23일 개최한 전체회의에서 이 같은 제재를 의결하고 해성디에스에 처분받은 사실을 자사 홈페이지에 공표할 것을 명령했다고 24일 밝혔다.
개인정보위에 따르면 해커는 2023년 10월 해성디에스가 운영하는 보안장비(SSL-VPN)의 취약점을 악용해 가상사설망(VPN)에 로그인 후 사내망에 접근했다. 이후 내부 파일서버에 저장돼 있던 주주와 임직원, 협력사 직원 등 7만 3975명의 개인정보를 외부로 유출하고, 내부 파일서버 등에 랜섬웨어 파일을 감염시켰다.
조사결과 해성디에스가 사용하던 SSL-VPN 장비는 취약점이 발견돼 보안 업데이트가 필요하다는 사실이 해당 장비 제조사는 물론 한국인터넷진흥원 등에 의해 공지됐지만 해성디에스는 해킹 사고 당시까지 별다른 조치를 하지 않았다. 또 해커가 유출 작업을 하던 기간 해성디에스의 일부 시스템은 백신 동작 이력이 존재하지 않는 등 악성프로그램 방지·치료 기능 운영을 소홀히 한 사실도 확인됐다. 이에 개인정보위는 개인정보보호법상 안전조치 의무 위반으로 과징금 부과를 의결했다.
개인정보위는 “해성디에스뿐 아니라 SSL-VPN 등 보안장비 취약점을 악용한 해킹 및 개인정보 유출 사례가 증가하고 있다”면서 “VPN 등 보안장비를 이용하는 사업자들은 보안장비 업데이트, 보안설정 점검 등에 유의해야 한다”고 당부했다.
개인정보위는 또 개인정보 처리시스템의 안전조치 의무를 소홀히 했다가 해킹 공격을 받아 개인정보를 유출한 전남테크노파크에 대해서도 과징금 9800만 원과 과태료 360만 원을 부과했다. 전남테크노파크는 중소·중견기업을 지원하기 위해 정부·지자체·민간이 공동 출연해 설립한 비영리 법인이다.
전남테크노파크는 처리시스템 취급자 계정에 유추하기 쉬운 아이디와 비밀번호를 사용하고, 이용자 비밀번호도 안전하지 않은 암호화(MD5)방식으로 저장했다. 로그인 시 전송하는 비밀번호도 암호화하지 않은 사실이 조사 결과 확인됐다. 또 처리시스템의 접속 권한을 IP 주소 등으로 제한하거나 불법 접근과 개인정보 유출 시도를 탐지·차단하지 않았고, 처리시스템의 접속 기록을 보관·관리하지도 않는 등 전반적인 개인정보 취급이 부실했던 것으로 파악됐다.
테크노파크는 2024년 11월 23일 해커가 시스템에 접근해 개인정보를 삭제·훼손한 사실을 인지하고도 정당한 사유없이 72시간이 지난 같은달 30일에야 개인정보 유출 신고를 했고, 다음날 홈페이지에 유출 사실을 게시한 것으로 조사됐다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
kim@sedaily.com
