'안전조치 의무 위반'···개인정보위, 해성디에스 개인정보 유출에 과징금 3.4억원

작성일 07-24

<div id="layerTranslateNotice" style="display:none;"></div>  
        <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
         <section dmcf-sid="1CDSOoSgSH">
          <figure class="figure_frm origin_fig" contents-hash="5eb265d97ab7c332005d0584a5db3a5b4c5aa81e77faefdf0318e8f1505cd094" dmcf-pid="thwvIgvaSG" dmcf-ptype="figure">
           <p class="link_figure"><img alt="고학수 개인정보보호위원회 위원장이 23일 서울 종로구 정부서울청사에서 열린 제16회 전체회의에서 모두발언을 하고 있다. 뉴스1" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202507/24/seouleconomy/20250724134844423cgij.jpg" data-org-width="640" dmcf-mid="5cDSOoSgTX" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202507/24/seouleconomy/20250724134844423cgij.jpg" width="658"></p>
           <figcaption class="txt_caption default_figure">
            고학수 개인정보보호위원회 위원장이 23일 서울 종로구 정부서울청사에서 열린 제16회 전체회의에서 모두발언을 하고 있다. 뉴스1
           </figcaption>
          </figure>
          <div contents-hash="a085ba253c9c3a21500e444d409e6fab7328da8798abac5f934c7ad566c4f23f" dmcf-pid="FlrTCaTNSY" dmcf-ptype="general">
            [서울경제] 
           <p>개인정보보호위원회는 해커 공격을 받아 주주 정보 등 7만여 명의 개인정보를 유출당한 반도체 부품업체 <span stockcode="195870">해성디에스(195870)</span>에 과징금 3억 4300만 원을 부과했다.</p>
          </div>
          <p contents-hash="37f12bddd623dc43acb3876a2cf09853e73b3e2a81143a2c9971dbd32743f853" dmcf-pid="3Q2R6URuhW" dmcf-ptype="general">개인정보위는 23일 개최한 전체회의에서 이 같은 제재를 의결하고 해성디에스에 처분받은 사실을 자사 홈페이지에 공표할 것을 명령했다고 24일 밝혔다.</p>
          <p contents-hash="80885b1c3fd559a3d9ff502999bf64dd34786700893a39830fc2d37c1fd00f63" dmcf-pid="0xVePue7Ty" dmcf-ptype="general">개인정보위에 따르면 해커는 2023년 10월 해성디에스가 운영하는 보안장비(SSL-VPN)의 취약점을 악용해 가상사설망(VPN)에 로그인 후 사내망에 접근했다. 이후 내부 파일서버에 저장돼 있던 주주와 임직원, 협력사 직원 등 7만 3975명의 개인정보를 외부로 유출하고, 내부 파일서버 등에 랜섬웨어 파일을 감염시켰다.</p>
          <p contents-hash="7e3cee44eb92c22cec34ddc6b1cc5aa36b3adf0b6ea3c4c020f0e7723aa31800" dmcf-pid="pMfdQ7dzyT" dmcf-ptype="general">조사결과 해성디에스가 사용하던 SSL-VPN 장비는 취약점이 발견돼 보안 업데이트가 필요하다는 사실이 해당 장비 제조사는 물론 한국인터넷진흥원 등에 의해 공지됐지만 해성디에스는 해킹 사고 당시까지 별다른 조치를 하지 않았다. 또 해커가 유출 작업을 하던 기간 해성디에스의 일부 시스템은 백신 동작 이력이 존재하지 않는 등 악성프로그램 방지·치료 기능 운영을 소홀히 한 사실도 확인됐다. 이에 개인정보위는 개인정보보호법상 안전조치 의무 위반으로 과징금 부과를 의결했다.</p>
          <p contents-hash="019c41703d931a928e8a36e46f5035ff4dd10a0553e2342a1116daabc598112e" dmcf-pid="UR4JxzJqWv" dmcf-ptype="general">개인정보위는 “해성디에스뿐 아니라 SSL-VPN 등 보안장비 취약점을 악용한 해킹 및 개인정보 유출 사례가 증가하고 있다”면서 “VPN 등 보안장비를 이용하는 사업자들은 보안장비 업데이트, 보안설정 점검 등에 유의해야 한다”고 당부했다.</p>
          <p contents-hash="e7f0c552fb520cb343b10e898e972c21a73637970afd217ba442bd69a67d61db" dmcf-pid="ue8iMqiBCS" dmcf-ptype="general">개인정보위는 또 개인정보 처리시스템의 안전조치 의무를 소홀히 했다가 해킹 공격을 받아 개인정보를 유출한 전남테크노파크에 대해서도 과징금 9800만 원과 과태료 360만 원을 부과했다. 전남테크노파크는 중소·중견기업을 지원하기 위해 정부·지자체·민간이 공동 출연해 설립한 비영리 법인이다.</p>
          <p contents-hash="1bd757e4a4fdffd1ac6360d8e34a77b3afec15a517fee03b5e4821c6d0d002f7" dmcf-pid="7d6nRBnbTl" dmcf-ptype="general">전남테크노파크는 처리시스템 취급자 계정에 유추하기 쉬운 아이디와 비밀번호를 사용하고, 이용자 비밀번호도 안전하지 않은 암호화(MD5)방식으로 저장했다. 로그인 시 전송하는 비밀번호도 암호화하지 않은 사실이 조사 결과 확인됐다. 또 처리시스템의 접속 권한을 IP 주소 등으로 제한하거나 불법 접근과 개인정보 유출 시도를 탐지·차단하지 않았고, 처리시스템의 접속 기록을 보관·관리하지도 않는 등 전반적인 개인정보 취급이 부실했던 것으로 파악됐다.</p>
          <div contents-hash="93185c81dc8cd7296948a399c899dc687fa11dfe6e0b2659c341a26e0b32426f" dmcf-pid="zJPLebLKTh" dmcf-ptype="general">
           <p>테크노파크는 2024년 11월 23일 해커가 시스템에 접근해 개인정보를 삭제·훼손한 사실을 인지하고도 정당한 사유없이 72시간이 지난 같은달 30일에야 개인정보 유출 신고를 했고, 다음날 홈페이지에 유출 사실을 게시한 것으로 조사됐다.</p> 김성태 기자 kim@sedaily.com
          </div>
         </section> 
        </div> 
        <p class="" data-translation="true">Copyright © 서울경제. 무단전재 및 재배포 금지.</p>

이전

2억4700만년 전 볏 달린 파충류 확인…"'깃털 공룡' 존재 뒷받침"

07-24
다음

[써보고서] 보이는 디자인, 들리는 완성도…낫싱 '헤드폰1'

07-24

등록된 댓글이 없습니다.

로그인한 회원만 댓글 등록이 가능합니다.

먹튀폴리스

'안전조치 의무 위반'···개인정보위, 해성디에스 개인정보 유출에 과징금 3.4억원

멤버랭킹

관련자료

멤버랭킹