랜섬웨어 공격으로 소비자 개인정보가 손상된 두 기업에 대해 정부가 과징금과 과태료를 부과하면서, 기업의 백업 시스템과 정보보호 조치 수준이 제재 수위에 직접적인 영향을 미친 것으로 나타났다.
개인정보보호위원회는 2025년 9월 25일, 랜섬웨어 피해로 인해 회원 개인정보를 훼손한 통신판매업체 테라스타에 과징금 500만원과 과태료 300만원을 부과하고, 냉동기기 제조업체 아이스트로에는 과태료 480만원을 부과키로 했다고 발표했다. 이는 전날 열린 제21회 위원회 전체회의 결과에 따른 결정이다.
사건의 발단은 각각 다른 시점에 발생한 랜섬웨어 감염이다. 테라스타는 2023년 11월 말 경 자사 쇼핑몰 서버가 해킹 공격을 받아 운영 중단 사태를 겪었다. 서버 내 보안이 취약한 상태에서 방화벽과 백신 등 기본적인 보호조치가 없었고, 백업조차 준비되어 있지 않았다. 그 결과, 이용자 900여 명의 성명과 생년월일, 연락처 등 민감한 개인정보가 손상됐고, 테라스타는 시스템을 아예 새로 구축하고 개인정보도 처음부터 다시 수집해야 했다.
반면 아이스트로는 해커가 관리자 계정을 생성해 내부 시스템에 침입했지만, 백업 체계가 잘 갖춰져 있어 피해 발생 직후 곧바로 시스템 복구가 가능했다. 그럼에도 불구하고 아이스트로는 내부 시스템에 암호화 없이 보관된 데이터 접속정보와 주민등록번호 처리 관련 장기 기록 미보관 등 보안관리 미흡이 드러나 과태료 처분을 피하지 못했다.
개인정보위는 이번 사례를 통해, 개인정보가 외부로 유출되지 않았더라도 처리 불가능한 상태로 훼손되면 이를 침해로 간주할 수 있다는 해석 기준을 명확히 밝혔다. 특히 백업 유무에 따른 회복 가능성과 서비스 정상화 여부가 침해 판단의 주요 기준이 됐다. 이는 보안사고 발생 이후 기업의 대응 역량과 평소 준비 수준에 따라 책임 범위가 달라질 수 있음을 보여준 셈이다.
개인정보위는 랜섬웨어 위협이 갈수록 고도화되고 빈번해지는 최근의 환경을 감안해 모든 개인정보처리자에게 최신 보안패치 적용과 보안 시스템 강화의 필요성을 재차 강조했다. 앞으로 이 같은 기조는 기업의 정보보호 투자 여부에 따라 행정처분 수위가 달라지는 방향으로 이어질 가능성이 크다. 기업 입장에서는 보안 사고 발생 후 수습보다, 평소 충분한 대비가 경영 리스크를 줄이는 결정적인 요소가 된다는 점을 명심할 필요가 있다.
<저작권자 ⓒ TokenPost, 무단전재 및 재배포 금지>