개인정보위, 개인정보 보호법규 위반 2개 사업자 제재

- “백업 및 신속한 복구 등 안전조치 유무, 정상적인 서비스 제공 여부” 등을 기준으로 과징금 부과 결정

< 이번 조사·처분의 의의 >

  ㈜테라스타와 ㈜아이스트로 모두 운영 중이던 서버가 랜섬웨어에 감염되어 데이터 파일이 암호화되었으나, ㈜테라스타는 백업정보가 없어 시스템을 재구축하고 회원 개인정보를 새로 수집한 반면, ㈜아이스트로는 백업해 둔 정보로 신속히 복구하여 개인정보 효용에 침해가 발생하지 않은 점 등을 고려해, 전자에게는 과징금을 후자에게는 과태료를 부과한 사례이다.

  이번 처분은 개인정보위가 랜섬웨어로 인해 개인정보가 암호화(접근 불가)되어 처리가 불가능한 경우에 대해, 유출 여부가 불분명하다 하더라도, ‘백업 및 신속한 복구 여부, 정상적인 서비스 제공 여부 및 안전조치 여부 등’을 기준으로 ‘개인정보 훼손’을 판단하고, 과징금을 부과 처분한다는 입장을 명확히 했다는 점에서 의의가 있다.

  ※ 보호법 제29조는 유출 외 분실·도난·위조·변조·훼손 등 방지를 위한 안전관리 의무 규정, 제64조의2는 유출 외 분실·도난·위조·변조·훼손 등에도 과징금 부과 가능

 특히, 개인정보위는 최근 랜섬웨어 시도가 빈발하고 있는 상황에 대해 모든 개인정보처리자가 경각심을 갖고, 개인정보처리시스템의 서버 운영체제, SW 등에 최신 보안패치를 적용하는 것은 물론, 백신 소프트웨어로 악성코드 검사를 수행하도록 해야 한다고 강조했다. 이와 더불어 개인정보 데이터베이스 등 주요 파일은 주기적으로 별도 백업·보관하는 등 각별한 주의를 당부했다.