락앤락 5억300만원·유베이스 1억6800만원·썬포토 3000만원 과징금…안전조치 미흡 지적
송경희 개인정보보호위원장/연합뉴스
[더파워 류동우 기자] 개인정보처리시스템 접근통제와 접속기록 관리 등 기본 안전조치를 소홀히 해 개인정보가 유출된 3개 사업자가 제재를 받았다. 락앤락은 약 130만명의 개인정보와 임직원 개인정보가 유출돼 5억원대 과징금을 부과받았다.
개인정보보호위원회는 지난 8일 제13회 전체회의를 열고 개인정보 보호 법규를 위반한 락앤락, 유베이스, 썬포토 등 3개 사업자에 총 7억100만원의 과징금과 540만원의 과태료를 부과하기로 의결했다고 9일 밝혔다. 개인정보위는 각 사업자 홈페이지에 처분 결과를 공표하도록 하는 명령도 함께 내렸다.
락앤락에는 과징금 5억300만원과 과태료 540만원이 부과됐다. 개인정보위에 따르면 신원을 알 수 없는 해커는 2024년 4월 메일 서버 취약점을 악용해 락앤락 내부 시스템에 침입했다.
해커는 같은 해 5월 29일부터 30일까지 회원 데이터베이스를 유출했고, 11월에는 내부 시스템에 다시 침입해 파일서버 내 업무자료 등을 유출했다. 두 차례에 걸쳐 유출된 개인정보는 약 130만명분으로, 이름과 휴대전화번호, 주소 등이 포함됐다. 임직원의 주민등록증, 운전면허증, 통장 사본 등 개인정보 1111건도 유출됐다.
조사 결과 락앤락은 유출 과정에서 발생한 비정상적인 대용량 트래픽을 탐지하거나 대응하지 못했다. 해커의 협박메일을 받은 뒤에야 유출 사실을 인지한 것으로 확인됐다.
개인정보위는 락앤락이 2022년 공개된 보안 취약점을 업데이트하지 않았고, 주요 서버 관리자 계정에 동일한 비밀번호를 적용했다고 밝혔다. 고유식별정보를 암호화하지 않은 점도 위반 사항으로 지적됐다.
개인정보 미파기도 확인됐다. 락앤락은 임직원 개인정보와 폐점 매장 구매자 정보 등 총 4만9466건을 파기하지 않은 것으로 조사됐다.
유베이스에는 과징금 1억6800만원과 공표명령이 내려졌다. 해커는 2024년 4월 유베이스 대표 홈페이지 관리자 계정으로 접속해 문의게시판 이용자 1852명의 개인정보를 유출한 뒤 텔레그램에 게시했다. 유출 항목은 이름, 전화번호, 이메일, 회사명 등이다.
개인정보위는 유베이스가 외부에서 관리자 페이지에 접속할 수 있도록 운영하면서도 접속 권한을 인터넷 프로토콜 주소 등으로 제한하지 않았다고 봤다. 아이디와 비밀번호만으로 접속이 가능하도록 해 안전한 인증수단을 적용하지 않은 점, 개인정보처리시스템 접속기록 보관·관리가 미흡했던 점도 지적됐다.
썬포토에는 과징금 3000만원과 공표명령이 부과됐다. 해커는 2024년 8월 썬포토가 운영하는 웹사이트 관리자 계정으로 접속해 회원 약 17만명의 개인정보와 주문정보 13건을 유출했다.
유출된 개인정보에는 이름, 아이디, 휴대전화번호, 성별 등이 포함됐다. 이후 주문자 1명에게는 썬포토 직원을 사칭한 보이스피싱 시도도 있었던 것으로 확인됐다.
개인정보위 조사 결과 썬포토 역시 웹사이트 관리자 페이지 접속 권한을 인터넷 프로토콜 주소 등으로 제한하지 않았다. 개인정보처리시스템 접속기록을 보관·관리하지 않은 점도 안전성 확보조치 의무 위반으로 판단됐다.
개인정보위는 최근 개인정보처리시스템 접근통제 미흡과 안전한 인증수단 미적용 등 기본 안전조치 소홀로 개인정보 유출 사고가 이어지고 있다고 밝혔다. 개인정보처리시스템 접속 권한은 인터넷 프로토콜 주소 등으로 제한해야 하며, 외부 접속이 필요한 경우 아이디와 비밀번호 외 추가 인증수단을 적용해야 한다고 당부했다.