들끓는 랜섬웨어에 해성디에스·전남테크노파크도 당해 개인정보 유출

랜섬웨어가 기승을 부리고 있는 가운데, 반도체 부품 회사 해성디에스와 중소기업 지원 비영리 법인 전남테크노파크가 미흡한 보안 조치로 랜섬웨어에 감염되고, 개인정보가 유출됐다.

이에 따라 양사는 개인정보보호법 위반으로 총 4억 4,460만원의 과징금·과태료 부과와 홈페이지 공표 명령을 개인정보위로부터 받았다.  

해성디에스 : 과징금 3억 4,300만 원 부과, 공표명령

해커는 2023년 10월 11일~10월 29일까지 해성디에스가 운영 중인 SSL-VPN 장비 취약점을 악용해 VPN에 로그인 후 사내망에 접근했다. 내부 파일서버에 저장된 주주 정보, 임직원 정보, 협력사직원 정보 등 73,975명 개인정보를 외부로 유출하고, 내부 파일서버 등에 랜섬웨어를 배포하고 감염시켰다.

조사 결과, 해성디에스가 사용하던 SSL-VPN 장비의 취약점이 발견됐다. 2023년 6월 12일 당시 장비 제조사 및 한국인터넷진흥원 등은 보안 업데이트를 공지한 바 있다. 하지만 해성디에스는 해킹 사고 당시까지 취약점 조치를 하지 않은 사실이 확인됐다.

또한 해커가 유출한 기간 동안 해성디에스 일부 시스템은 백신 동작 이력이 존재하지 않는 등, 악성프로그램 방지·치료 기능 운영 소홀 사실도 확인됐다.

개인정보위는 안전조치 의무 위반으로 개인정보가 유출된 해성디에스에 과징금 3억 4,300만원을 부과, 처분받은 사실을 운영 중인 홈페이지에 공표할 것을 명령했다.

이번 해성디에스뿐 아니라, SSL-VPN 등 보안장비의 취약점을 악용한 해킹 및 개인정보 유출 사례가 최근 증가하고 있다. VPN 등 보안장비 이용 사업자는 보안장비 업데이트, 보안설정 점검 등에 유의해야 한다.

전남테크노파크 : 과징금 9,800만 원, 과태료 360만 원 부과, 공표명령 

2023년 11월 23일경 해커는 전남테크노파크가 운영하는 전남과학기술정보시스템 홈페이지 내 개인정보처리시스템에 권한 없이 접근해 데이터베이스(DB)를 모두 삭제, 금전을 요구하는 랜섬노트로 협박 메시지를 남겼다. 

공격을 받은 당시 처리시스템에는 약 1,200여 명의 개인정보가 저장돼 있었으며, 성명, 휴대전화번호, 이메일주소, 소속기관 정보 등이 포함돼 있었다. 

조사 결과, 테크노파크는 처리시스템 취급자 계정에 유추하기 쉬운 아이디와 비밀번호를 사용했다. 또한, 이용자의 비밀번호도 안전하지 않은 암호화(MD5)방식으로 저장하고 로그인 시 전송하는 비밀번호는 암호화하지 않은 사실을 확인했다.

또한 처리시스템의 접속 권한을 IP 주소 등으로 제한하거나 불법 접근 및 개인정보 유출 시도를 탐지·차단 하지 않았고, 처리시스템의 접속 기록을 보관‧관리하지도 않았다.

테크노파크는 2024년 11월 23일 해커가 불법 접근해 개인정보를 삭제해 훼손된 사실을 인지했다. 하지만, 정당한 사유없이 72시간을 경과해 2024년 11월 30일 개인정보 유출 신고했다. 홈페이지에는 2024년 12월 1일 유출 사실을 게시했다.

이에 따라 개인정보위는 안전조치 의무를 위반한 테크노파크에 9,800만원 과징금과 360만원 과태료를 부과, 처분받은 사실을 테크노파크 홈페이지에 공표하도록 했다.

개인정보위는 "최근 제조업 등 중심으로 랜섬웨어 감염과 개인정보 유출이 증가하고 있다"며 "개인정보 처리 사업자들은 운영 중인 서비스에 대한 취약점 점검과 보안 업데이트를 실시하고, 개인정보 데이터베이스 등 주요 파일을 별도 백업·보관하는 등 각별한 주의가 필요하다"고 당부했다.

<주요 랜섬웨어 사고사례>

이처럼 랜섬웨어가 기승을 부리고 있음에도 불구하고, 안전조치 미흡으로 인한 개인정보 유출사고가 끊이지 않고 있다.

서버보안의 경우 보안 설정이 미흡해 랜섬웨어에 감염, 개인정보 등 주요 자료가 유출됐다. 특히 기업 Active Directory 등 중앙관리형 솔루션 환경의 사용자 계정, 권한, 보안 정책 관리의 미흡으로 감염되는 만큼 보안에 각별히 신경써야 한다.

PC보안의 경우 보안 수칙을 준용하지 않아 랜섬웨어 감염에 개인정보가 유출된다. 공문, 이력서, 견적서 등으로 위장한 악성메일의 첨부파일(랜섬웨어)을 실행하지 않도록 세심한 주의를 기울여야 한다. 또한 취약한 버전 브라우저를 이용해 악성코드(랜섬웨어)가 은닉된 웹사이트를 방문하지 않도록 PC보안을 강화해야 한다.

NAS 보안 설정이 미흡해 랜섬웨어에 감염되거나 주요 자료가 유출된 사례도 있다. 접근제어 없이 공장 출하 시 설정된 기본 관리자 패스워드를 사용하거나, 보안 업데이트 미적용으로 감염된 만큼 최신버전 유지에 신경써야 한다.

따라서 이용자는 최신 보안패치 적용, 백업 및 복구 체계 마련·운영, 접근 통제 및 권한 관리, 백신 소프트웨어 설치·운영, 개인정보 파일 보관시 암호화 또는 DRM을 적용해야 한다.

백업의 경우 일간/주간/월간 백업 계획 수립, 이행하고, 회원 정보 등 주요 개인정보 파일은 별도 백업 등 2차 백업을 해야 한다.

접근 통제 및 권한 관리는 개인정보처리시스템 등에 대한 최소 접근권한 적용, 이력 관리를 해야 한다. 업무용 시스템이나 외부 접속 경우, 접속 가능한 IP주소, 단말기기 제한, 안전한 인증수단을 적용해야 한다. VPN으로 외부서 접속도, 다중인증을 적용해야 한다. 내부서 개인정보처리시스템에 접속시에도 접속 허용 IP주소 등 최소화로 피해 확산을 방지해야 한다.

파일 서버, PC 등에 개인정보가 포함된 파일 보관시엔 암호화 또는 DRM 적용으로 외부 유출에 따른 피해를 최소화해야 한다.

Related Materials

• 세계 각국의 개인정보 유출에 대한 처벌 규정 - 세계법제정보센터, 2025년
• 정보보호 법제동향 (해외 주요국 EU, 미국, 일본 최근 입법동향), 2023년
• 유럽연합 국가, 신규 사이버보안법률 위반 시 높은 과징금 부과, 2023년
• 개인정보보호 월간동향분석, 2024년

쿠가게임즈, 과징금 9천370만원 받아

💡Editor Pick - 쿠카게임즈, 이벤트 당첨자 대상으로 주민등록번호 41건 수집 - 적법 근거 없이 주민등록번호 처리 제한 규정 위반 - 잡보스, 적법 근거 없이 피고용자 575명 주민등록번호 수집...시정명령 개인정보 보호 법규를 위반한 쿠카게임즈가 과징금 9천 370만원, 잡보스가 시정명령을 받았다. 쿠카게임즈: 과징금 9천 370만원 부과, 시정명령 글로벌 게임회사인 쿠카게임즈는 모바일

The Tech EdgeCheifEditor

한독헬스케어, 해킹당해 개인정보 유출

💡Editor Pick - 한독헬스케어, 고객 성명·연락처 등 개인정보 유출 사고 발생 - 출범 한 달만에 사고 발생 보안 취약성 고스란히 드러나 국내 제약사 한독의 자회사인 한독헬스케어가 출범 한 달 만에 운영 중인 건강기능식품 전문몰 ‘일상건강’에서 고객 개인정보가 유출되는 사고가 발생했다. 한독헬스케어는 지난 14일 ‘일상건강’ 쇼핑몰 홈페이지를 통해 개인정보

The Tech EdgeCheifEditor

한국연구재단, 12만여건 개인정보 유출...동일 취약점 사이트 ‘비상’

💡Editor Pick - 온라인 논문 시스템(JAMS) 해킹으로 개인정보 유출 - 6.6 내부 점검 결과 개인정보 유출 없다발표 - TF를 구성해 연구자 응대와 재단 전체 시스템에 대한 정밀점검 한국연구재단에서 운영하는 온라인 논문 시스템 잼스(JAMS)가 해킹돼 12만여건의 개인정보가 유출됐다. 유출된 개인정보는 성명, 생년월일, 연락처, 이메일 주소, 계정 ID

The Tech EdgeCheifEditor