韩国个人信息委员会：法院行政处因被黑致居民身份证号等泄露被罚款2亿韩元

by Lee Jungyun

Published 09 Jan.2025 12:00(KST)

修订前个人信息法标准下罚款最高
与诉讼相关的文件泄露规模达1014GB

8日下午，个人信息保护委员会委员长 Ko Haksoo 在首尔钟路区政府首尔大厦主持召开2025年第1次全体会议。个人信息委员会提供

由于安保系统薄弱，被推定为隶属朝鲜的黑客组织窃取了与诉讼相关的文件，法院因此被处以超过2亿韩元的罚款。

个人信息保护委员会9日表示，已决议对违反个人信息保护法规的法院行政处处以共2亿700万韩元的罚款以及600万韩元的罚金。委员会还表示，将公开相关内容，并建议其通过检查个人信息处理系统的运行体系以及组织、人力、相关规章等整个保护体系中的安全措施落实情况，制定提升个人信息保护措施水平的改进方案。

这笔罚款是在适用修订前《个人信息保护法》的公共机构中，迄今为止规模最大的一例。若以修订后自2023年9月起实施的《个人信息保护法》为基准，因黑客攻击致135万名会员的个人信息被泄露而受害的韩国社会福利协议会，被处以4亿8300万韩元，是目前罚款最多的案例。

根据个人信息保护委员会的调查结果，法院行政处为方便使用，开放并运行了端口（网络通信通道），以便内网与外网之间可以相互访问。从2021年6月至2023年1月，通过这些端口侵入的黑客将存储在电子诉讼服务器上的、与诉讼相关的文件共1014吉字节（GB）数据泄露出去。实际渗透时间点在2021年1月7日之前，黑客组织被指疑似为隶属朝鲜的“Lazarus”。

警方对遭黑客攻击的全部数据中已完成恢复的4.7GB文件进行分析后确认，在该数据中发现了包括居民登记号码在内的1万7998人的姓名、联系方式、住址等信息。警方于去年12月立案侦查，并对大法院电子信息中心进行扣押搜查等调查，结果确认大量资料被泄露至国内4台服务器和海外4台服务器。经查，大部分泄露资料因时间推移已从服务器中被删除。由于已恢复的内容仅为部分数据，实际受害规模预计会更大。

还查明，法院行政处在将与诉讼相关的文件存储、保管于电子诉讼服务器时，并未对包含居民登记号码的诉讼文件进行加密处理。此外，负责像办公用电脑那样通过虚拟化方式使用互联网环境的“互联网虚拟化PC”的操作人员，以及管理互联网虚拟化系统账户的互联网AD服务器管理员，都一直在使用极易被猜出的初始密码。内部网中的“互联网虚拟化网页服务器”未安装杀毒软件等安全程序就投入运行等情况也被发现，基本安全措施明显不足。

法院行政处于2023年2月发现恶意文件并开展事故自查，在同年4月于法院电子网络中察觉到个人信息泄露迹象。但经确认，其直到同年12月才向个人信息保护委员会报告个人信息泄露事实，并在官网上发布相关公告。通过邮寄、短信发送等方式向当事人发出泄露通知则是在去年6月至8月期间完成的。根据现行法律，个人信息处理者在得知个人信息泄露事实后，必须在72小时内向个人信息保护委员会报告。