개인정보보호위원회가 최근 여러 자산운용사로부터 개인정보 유출 관련 신고를 접수하고, 이에 대한 본격적인 조사에 착수했다. 유출 사고는 랜섬웨어 공격으로 인해 발생한 것으로 파악되고 있으며, 위원회는 사건의 경위와 피해 규모 등을 면밀히 들여다볼 계획이다.

이번 유출 사태에 연루된 자산운용사들은 공통적으로 ‘지제이텍(GJ Tech)’이라는 IT 서비스 업체의 파일서버를 이용해왔다. 지제이텍은 금융기관과 자산운용사를 대상으로 전산 설비 및 시스템 운영을 지원하는 전문 업체로, 국내 주요 운용사들이 다수 이 서비스를 사용 중인 것으로 알려져 사건의 파장도 그만큼 클 수 있다는 우려가 나온다.

랜섬웨어는 해킹의 일종으로, 컴퓨터에 침투해 내부 데이터를 암호화한 뒤 이를 복호화해주는 대가로 금전을 요구한다. 최근 몇 년 사이 세계적으로 피해 사례가 급증하고 있으며, 국내에서도 개인정보 유출과 서비스 중단 사태로 이어지는 경우가 잇따르고 있다. 특히 이번 사안은 금융업계에서의 연쇄 피해 가능성 때문에 더 큰 주의가 요구된다.

개인정보보호위원회는 우선 공격의 시작점이 된 것으로 의심되는 지제이텍을 중심으로, 개인정보 유출이 정확히 어떻게 발생했는지, 피해자는 얼마나 되는지, 그리고 해당 기업이 개인정보보호법에 명시된 안전조치 의무를 제대로 이행했는지를 집중적으로 조사하겠다는 방침이다. 법에 따라 기업은 이용자 개인정보의 안전한 관리를 위해 취약점 점검과 보안 업데이트, 중요 파일의 별도 백업 등을 의무적으로 수행해야 한다.

이와 함께 위원회는 최근 랜섬웨어 사고가 계속해서 발생하고 있다는 점을 강조하며, 모든 정보통신서비스 제공자와 금융사, 관련 기업에 대해서도 자체적인 보안 점검과 시스템 보완 조치를 철저히 할 것을 당부했다. 이번 사건은 개별 기업만의 문제가 아닌 산업 전반의 정보보호 체계를 다시 살펴볼 기회가 될 수 있다.

이 같은 흐름은 향후 금융업계의 보안 기준 강화와 클라우드 및 외부 시스템 활용 시 위험 평가 절차의 중요성을 다시 부각시키는 계기가 될 것으로 보인다. 또한 개인정보보호위원회의 조사 결과에 따라 관련 기업들에 대한 행정 조치나 제도 개선 움직임도 이어질 가능성이 크다.