테라스타(前 에이쓰리글로벌)·아이스트로 등에 과징금·과태료 처분
백업 및 신속한 복구 등 안전조치 유무, 정상적인 서비스 제공 여부 확인
![[서울=뉴시스] 김명원 기자 = 고학수 개인정보보호위원회 위원장이 24일 서울 종로구 정부서울청사에서 열린 개인정보보호위원회(개인정보위) 2025년 제21회 전체회의에 참석해 발언하고 있다. 2025.09.24. kmx1105@newsis.com](https://img1.newsis.com/2025/09/24/NISI20250924_0020991502_web.jpg?rnd=20250924152116)
[서울=뉴시스] 김명원 기자 = 고학수 개인정보보호위원회 위원장이 24일 서울 종로구 정부서울청사에서 열린 개인정보보호위원회(개인정보위) 2025년 제21회 전체회의에 참석해 발언하고 있다. 2025.09.24. [email protected]
[서울=뉴시스]송혜리 기자 = 개인정보보호위원회는 개인정보보호법규를 위반한 테라스타(이전 회사명 에이쓰리글로벌)에 과징금 500만원과 300만원의 과태료를 부과하고 아이스트로에 대해서는 480만원의 과태료를 부과하기로 했다고 25일 밝혔다.
화장품 등 생활필수품을 판매하는 통신판매업자 테라스타는 해커의 공격으로 운영 중인 쇼핑몰 서버가 랜섬웨어에 감염됐다. 해커는 서버 내 파일을 암호화하고 확장자를 변경해 시스템 운영을 중단시킨 후 랜섬노트(협박 메시지)를 남겼다.
테라스타가 운영 중이던 쇼핑몰은 900여명의 회원이 가입돼 있었으며, 이들 회원의 성명, 생년월일, 성별, 휴대전화번호 등 개인정보가 랜섬웨어 공격으로 훼손됐다. 이후 테라스타는 웹서버 등 홈페이지를 신규 구축하고, 회원가입을 새로 받아 시스템을 재가동했다.
개인정보위 조사 결과, 테라스타는 쇼핑몰 운영 서버에 보안 업데이트 서비스가 종료된 윈도우 운영체제를 사용하고 있었으며, 방화벽이나 백신 프로그램을 설치·운영하지 않았고 비밀번호·계좌번호 등을 암호화하지 않고 저장한 사실도 확인됐다.
제빙기 등의 냉동식품 기기 제조사 아이스트로의 경우, 해커는 회사가 운영 중이던 내부 업무관리시스템에 접근해 관리자용 계정을 생성하고 업무관리시스템을 운영하던 서버 내 데이터 파일을 암호화한 후 랜섬노트(협박 메시지)를 남겼다.
아이스트로가 운영 중이던 업무관리시스템은 임직원과 거래처 직원 1991명의 개인정보가 포함돼 있었으나, 아이스트로는 사고 인지 즉시 그룹 백업자료(일일 백업)를 이용해 시스템과 데이터를 복구하고 서비스를 정상화했다.
다만, 개인정보위는 아이스트로가 업무관리시스템 서버 내 데이터베이스(DB) 접속정보를 텍스트 파일에 암호 설정 없이 보관하고 있었고 임직원 등의 주민등록번호를 처리하면서 취급자의 DB 접속기록을 2년 이상 저장·관리하지 않은 사실을 추가 확인했다.
◎공감언론 뉴시스 [email protected]
