노경조기자
개인정보보호위원회는 제16회 전체회의에서 개인정보 보호 법규를 위반한 해성디에스, 전남테크노파크에 총 4억4460만원의 과징금·과태료를 부과했다고 24일 밝혔다.
해성디에스는 3억4300만원의 과징금을 맞았다. 신원 미상의 해커가 2023년 10월 해성디에스의 SSL-VP 장비 취약점을 악용해 VPN에 로그인 후 사내망에 접근, 내부 파일 서버에 저장 돼있던 7만3975명의 개인정보를 외부로 유출했기 때문이다. 여기에는 주주·임직원 정보, 협력사 직원 정보가 담겼다. 해커는 또 내부 파일서버 등에 랜섬웨어 파일을 배포해 감염시켰다.
해성디에스는 앞서 6월 SSL-VPN 장비의 보안 업데이트가 필요하다는 사실이 제조사와 한국인터넷진흥원등에 공지됐음에도 해킹 사고 당시까지 조치하지 않은 것으로 확인됐다. 해커가 유출 작업을 하는 동안 해성디에스의 일부 시스템은 백신이 제대로 작동하지 않는 등 악성프로그램 방지·치료 기능 운영에도 소홀했다.
중소·중견기업을 지원하기 위해 정부·지자체·민간이 공동 출연해 설립한 비영리 법인인 전남테크노파크는 과징금 9800만원, 과태료 360만원 처분을 받았다. 해커는 2023년 11월 전남테크노파크가 운영하는 홈페이자(전남과학기술정보시스템) 내 개인정보 처리시스템에 권한 없이 접근해 데이터베이스(DB)를 모두 삭제하고, 금전을 요구하는 랜섬노트(협박 메시지)를 남겼다. 당시 처리시스템에는 1200여명의 개인정보(성명, 휴대전화 번호, 이메일 주소, 소속기관 정보 등)가 저장돼 있었다.
개인정보위 조사 결과 테크노파크는 처리시스템 취급자 계정에 유추하기 쉬운 아이디와 비밀번호를 사용했다. 이용자의 비밀번호도 안전하지 않은 암호화(MD5)방식으로 저장하고, 로그인 시 전송하는 비밀번호는 암호화하지 않은 것으로 파악됐다. 뿐만 아니라 처리시스템의 접속 권한을 IP 주소 등으로 제한하거나 불법 접근, 개인정보 유출 시도를 탐지·차단 하지 않았고, 접속 기록을 보관·관리하지도 않았다.
아울러 테크노파크는 지난해 11월 23일 해킹 사실을 인지하고도 정당한 사유없이 72시간을 경과해 개인정보 유출을 신고했다. 홈페이지에 해당 사실을 게시한 것은 일주일이 지난 12월 1일이었다.
개인정보위 관계자는 "최근 제조업 등을 중심으로 랜섬웨어 감염과 개인정보 유출이 증가하고 있다"며 "개인정보를 처리하는 사업자들은 운영 중인 서비스에 대한 취약점 점검 및 보안 업데이트를 실시하고, 개인정보 DB 등 주요 파일을 별도 백업·보관하는 등 각별한 주의가 필요하다"고 당부했다.