2K게임스·부산국제금융진흥원, 개인정보법 위반에 총 3억 과징금·과태료

2K게임스, 1만3000명 정보 유출’

부산금융진흥원은 177명 정보 훼손

각각 2억171만원, 9900만원 부과

개인정보보호위원회가 10일 서울 종로구 정부서울청사에서 2025년 제26회 개인정보보호위원회 전체회의를 진행하고 있다. 개인정보위

약 1만2906명의 개인정보를 유출하는 등 관련 법규를 위반한 미국 게임업체 2K게임스와 부산국제금융진흥원이 각각 2억 여원과 약 1억원의 과징금 및 과태료 처분을 받았다.

개인정보보호위원회는 10일 제26회 전체회의를 열고 개인정보 보호 법규를 위반한 2개 사업자에 대해 총 3억 71만 원의 과징금 및 과태료를 부과하고 해당 사업자 홈페이지에 결과를 공표할 것을 의결하였다. 과태료와 과징금 규모는 2K게임스가 2억171만원, 부산국제금융진흥원은 9900만원이다.



2K게임스는 개인정보처리시스템이 해커의 공격을 받아 국내 이용자 1만2906명의 개인정보가 유출된 사실을 2022년 9월 28일 인지한 후 약 열흘 뒤 유출신고를 했다. 당시 해커는 2K게임스 헬프데스크 관리직원의 계정정보를 알아낸 뒤 페이지에 접근해 국내 이용자 1만2906명을 포함한 전세계 헬프데스크 이용자 400만 명의 개인정보를 유출했다. 조사결과 2K게임스는 당시 아이디와 비밀번호 외 다른 인증 수단 없이 개인정보처리시스템에 접속할 수 있도록 운영하고 있었다. 또 개인정보 유출 인지 후 24시간 내 신고해야 하는 당시 규정을 지키지 않고 유출 통지와 신고를 지연했다.

부산국제금융진흥원은 개인정보 훼손 사건으로 9900만원의 과징금 및 과태료를 부과 받았다. 해커는 지난해 6월 22일에서 24일 사이 분당 최대 433회, 총 2만8072회의 시도 끝에 시스템에 로그인을 한 뒤 랜섬웨어를 통해 서버 내 파일을 암호화했다. 이에 따라 임직원 등 177명의 개인정보가 복구 불가능한 상태로 훼손됐다. 부산국제금융진흥원은 방화벽 등 별도 보안장치 없이 시스템을 운용했으며 윈도우 보안업데이트도 최신 상태로 유지하지 않는 등 과실이 확인됐다.

개인정보위는 “랜섬웨어로 인해 개인정보가 암호화돼 처리가 불가능한 경우, 유출 여부가 불분명하다 하더라도 과징금을 부과 처분한다는 입장을 재확인한 것”이라며 “개인정보취급자가 정보통신망을 통해 관리자페이지 등 개인정보처리시스템에 접속할 때에는 아이디와 비밀번호 외에 일회용 비밀번호(OTP) 등 안전한 인증수단을 이용해 접속하도록 해야 한다”고 말했다.