개인정보보호위원회가 개인정보보호법 위반으로 테라스타와 아이스트로 2개 업체에 대해 금전적 제재를 확정했다. 24일 진행된 제21회 전체회의에서 테라스타에는 과징금 500만원과 과태료 300만원을 합쳐 총 800만원의 제재금을, 아이스트로에는 과태료 480만원을 부과하기로 결정했다고 25일 발표했다.

테라스타(구 에이쓰리글로벌)는 기능성 화장품 등 생활용품을 취급하는 소규모 온라인 쇼핑몰 운영업체로, 작년 11월 26일경 사이버 공격자의 침입으로 서버시스템이 랜섬웨어에 노출되는 피해를 당했다. 공격자들은 서버에 저장된 파일들을 암호화 처리하고 확장자명을 임의로 변경한 후 시스템 가동을 정지시킨 뒤 협박성 메시지를 남겼다.

당시 해당 쇼핑몰에는 약 900여명의 고객이 회원으로 등록되어 있었으며, 이들의 이름, 출생년월일, 성별, 휴대폰 번호 등의 민감한 개인정보가 사이버 공격으로 인해 손상을 입었다. 테라스타는 사건 발생 이후 웹사이트와 서버를 처음부터 다시 구축하고 고객들의 재가입 절차를 통해 서비스를 재개했다.

당국의 면밀한 조사를 통해 테라스타가 보안 업데이트 지원이 중단된 구형 윈도우 운영시스템을 여전히 사용하고 있었던 것으로 밝혀졌다. 더욱이 기본적인 보안장치인 방화벽과 바이러스 차단 프로그램조차 제대로 설치하거나 운용하지 않았으며, 고객들의 패스워드와 계좌정보 등을 암호화 처리 없이 그대로 보관하고 있었다는 사실이 확인됐다.

반면 제빙장비 등 냉동기기 제조업체인 아이스트로의 경우, 지난해 6월 7일경 해커가 회사 내부 업무시스템에 무단 접근하여 관리자 권한의 계정을 불법 생성하고 시스템 내 정보파일들을 암호화한 후 협박 메시지를 남긴 것으로 조사됐다. 해당 업무시스템에는 직원 및 협력업체 관계자 총 1,991명의 개인정보가 보관되어 있었다.

하지만 아이스트로는 보안 침해 사실을 즉시 감지한 후 미리 준비해둔 백업 데이터를 활용해 시스템과 정보를 신속하게 복원하고 정상적인 서비스 제공을 재개했다. 개인정보위는 이러한 신속한 대응과 복구 노력을 감안하여 과징금 부과는 면제하기로 했다.

그러나 아이스트로 역시 업무시스템 서버 내부의 데이터베이스 접속 관련 정보를 일반 텍스트 형태로 암호화 없이 저장하고 있었고, 직원들의 주민번호 처리 과정에서 담당자의 데이터베이스 접속 이력을 법정 기간인 2년 이상 보존하지 않았던 점이 추가로 적발되어 과태료가 부과됐다.

개인정보위는 이번 처분이 랜섬웨어 공격으로 정보가 암호화되어 유출 여부가 명확하지 않은 상황에서도 백업 시스템 구축, 신속한 복구 대응, 정상 서비스 지속 여부 등을 종합적으로 평가하여 개인정보 훼손 정도를 판단한다는 기준을 명확히 한 사례라고 설명했다. 최근 랜섬웨어 공격 시도가 급증하는 상황에서 모든 개인정보 취급기관들이 경각심을 가지고 서버 운영시스템과 소프트웨어에 대한 최신 보안패치 적용에 만전을 기해야 한다고 강조했다.