국립항공박물관 캡처

1만여명의 회원 정보를 탈취당한 국립항공박물관에 9800만원의 과징금이 부과됐다.

11일 개인정보보호위원회는 전날 개인정보보호법을 위반한 공공기관인 국립항공박물관에 과징금 9800만원을 부과하고 처분 결과 공표를 명령하기로 의결했다고 밝혔다.

개인정보보호위 조사에 따르면, 해커는 국립항공박물관의 관리자 계정을 획득해 관리자 페이지에 접근, 1만2029명의 이름, 아이디, 주소, 연락처, 생년월일 등을 다운로드했다. 이후 일부 회원들에게 악성 애플리케이션 주소가 포함된 스미싱 문자를 발송했다.

국립항공박물관은 3개의 관리자 계정을 20여명의 직원 및 수탁업체 관계자와 함께 사용하는 등 허술하게 관리하고 있었다. 또 외부에서도 관리자 페이지에 접속할 수 있었으며, 인증서 등의 안전한 인증수단 없이 아이디와 비밀번호만으로도 접속이 가능했다. 접속기록 점검도 이뤄지지 않았다.

개인정보보호위는 아울러 미국 소재 게임회사 ‘2K Games’와 부산국제금융진흥원에도 각각 2억171만원, 9900만원의 과징금·과태료를 부과하고 처분 사실 공표를 명령하기로 함께 의결했다.

조사 결과에 따르면, 해커는 2022년 9월 ‘2K’ 헬프데스크 관리직원의 계정을 획득해 관리자 페이지에 접근, 국내 이용자 1만2906명을 포함한 전 세계 이용자 400만명의 개인정보(이름, 이메일, IP주소 등)를 유출했다. 2K는 2011년부터 헬프데스크를 운영하면서 개인정보처리시스템 접속 시 아이디·비밀번호 외 안전한 인증수단을 운영하지 않았다. 또한 그해 9월28일 정보 유출을 인지했으면서도 법상 시한인 24시간을 훌쩍 넘긴 10월8일에 신고했다.

부산국제금융진흥원은 랜섬웨어 공격을 받아 과징금 처분을 받게 됐다. 해커는 올해 6월22일부터 사흘간 부산국제금융진흥원이 운영 중이던 업무관리시스템에 1분당 최대 433회(총 2만8072회) 로그인을 시도해 로그인에 성공했다. 이후 랜섬웨어를 실행해 서버 내 파일을 암호화한 후 랜섬노트(협박 메시지)를 남겼다. 랜섬웨어 공격은 보통 주요 시스템을 악성코드로 감염시켜 암호화한 뒤, 해제 대가로 금전을 요구하는 방식으로 이뤄진다.

조사 결과 부산국제금융진흥원은 2020년 4월부터 내부 업무관리시스템을 운영하면서 방화벽 등 별도 보안장비를 설치·운용하지 않았고, 윈도 운영체제 보안 업데이트를 최신 상태로 유지하지 않았다. 주민등록번호를 암호화하지 않고 저장한 사실도 확인됐다.

이번 랜섬웨어 공격으로 부산국제금융진흥원 업무시스템에 저장된 임직원 177명의 개인정보는 훼손됐으나, 유출 여부가 확인되지는 않았다. 개인정보보호위는 “개인정보 유출 여부가 불분명하더라도, 법상 ‘정상적인 서비스 제공 여부 등’에 ‘개인정보 훼손’이 포함된다고 판단해 과징금 처분을 했다”고 설명했다.