
대규모 정보 유출, 기업의 안일함이 빚은 재앙
개인정보보호위원회는 최근 주요 기업들의 개인정보 유출 사건에 대한 강도 높은 제재를 발표했다.
수백만 명에 달하는 이용자들의 소중한 개인정보를 유출한 기업들에 엄중한 책임을 물었다.
이 조치는 개인정보 보호의 중요성을 다시 한번 일깨우는 강력한 메시지가 되었다.
특히 주식회사 락앤락에는 무려 5억 300만원의 과징금과 540만원의 과태료가 부과되었다.
이와 더불어 유베이스와 썬포토 등 총 세 개 사업자에 대해 7억 100만원의 과징금과 540만원의 과태료 처분이 내려졌다.
각 기업은 위원회의 명령에 따라 처분 사실을 자사 홈페이지에 공표해야 한다.
락앤락, 130만 명의 민감 정보가 해커 손에
락앤락의 개인정보 유출은 충격적인 규모와 심각성을 드러냈다.
조사 결과 해커는 2024년 4월, 이메일 서버의 보안 취약점을 악용해 내부 시스템에 침입했다.
이후 5월 말에는 약 130만 명에 달하는 회원 데이터베이스를 유출하는 데 성공했다.
같은 해 11월에는 또다시 시스템에 침입해 파일 서버에 보관된 업무 자료와 임직원 개인정보까지 추가로 빼냈다.
총 130만 명의 회원 정보와 1,111건의 임직원 개인정보가 외부로 유출된 것이다.
유출된 정보에는 이름, 휴대전화번호, 주소 등 일반적인 정보뿐만 아니라 심각한 민감 정보도 포함되었다.
임직원의 경우 주민등록증 사본, 운전면허증 사본, 통장 사본과 같은 매우 민감한 정보들이 해커의 손에 들어갔다.
반복된 보안 허점, 기업의 안일한 대응이 문제
락앤락의 정보 유출 과정에서는 여러 심각한 보안 미흡점이 발견되었다.
기업은 해커의 침입 시 발생한 비정상적인 대용량 트래픽을 전혀 탐지하거나 차단하지 못했다.
심지어 해커로부터 협박성 이메일을 받고 나서야 정보 유출 사실을 인지했다는 사실이 밝혀졌다.
이는 기업의 보안 시스템과 모니터링 체계가 얼마나 부실했는지를 여실히 보여준다.
또한 락앤락은 이미 2022년에 공개된 보안 취약점에 대한 패치를 적용하지 않은 것으로 드러났다.
주요 서버 관리자 계정에 동일한 비밀번호를 사용하고 있었다.
고유식별정보와 같은 민감한 데이터를 암호화하지 않는 등 다수의 안전조치 의무를 위반했다.
더불어 임직원 개인정보와 폐점된 매장의 구매자 정보 49,466건을 정해진 절차에 따라 파기하지 않고 보관한 사실도 확인되었다.
이러한 총체적인 보안 부실이 대규모 정보 유출로 이어진 주요 원인으로 지목되었다.
유베이스, 관리자 페이지 허점 노출로 정보 유출
기업 대상 콜센터 아웃소싱 서비스를 제공하는 유베이스 역시 개인정보 유출 사고를 피하지 못했다.
2024년, 유베이스의 대표 홈페이지 관리자 계정이 해킹당하는 사건이 발생했다.
이로 인해 문의 게시판을 이용했던 1,852명의 이름, 전화번호, 이메일, 회사명 등이 유출되었다.
유출된 개인정보는 해커에 의해 텔레그램 채널에 게시되는 2차 피해로 이어졌다.
조사 결과 유베이스는 외부에서 관리자 페이지에 접속할 수 있도록 운영하면서도 보안 조치를 소홀히 했다.
특정 인터넷 프로토콜 주소 등으로 접근 권한을 제한하지 않았다.
단순히 아이디와 비밀번호만으로 관리자 페이지에 접속할 수 있도록 운영한 것이 문제점으로 드러났다.
개인정보 처리 시스템 접속 기록을 제대로 보관하고 관리하지 않은 점도 지적되었다.
개인정보위는 유베이스에 1억 6,800만원의 과징금을 부과하고, 해당 사실을 홈페이지에 공표하도록 명령했다.
썬포토, 보이스피싱 시도까지 이어진 개인정보 유출
사진 및 영상 장비 판매업체인 썬포토에서도 개인정보 유출 사고가 발생했다.
2024년, 관리자 계정이 해킹당하며 회원 약 17만 명의 개인정보와 13건의 주문 정보가 유출되었다.
유출된 정보에는 이름, 아이디, 휴대전화번호, 성별 등이 포함되어 있었다.
더욱 심각한 것은 유출된 정보를 악용하여 해커가 특정 주문자에게 썬포토 직원을 사칭한 보이스피싱을 시도했다는 점이다.
썬포토 역시 관리자 페이지 접속 권한을 인터넷 프로토콜 주소 등으로 제한하지 않았다.
개인정보 처리 시스템 접속 기록을 보관 및 관리하지 않는 등 안전조치 의무를 위반했다는 판단을 받았다.
이에 개인정보위는 썬포토에 3,000만원의 과징금을 부과하고 처분 사실 공표를 명령했다.
기업의 책임과 개인정보 보호의 중요성
이번 개인정보보호위원회의 제재는 기업이 개인정보 보호에 얼마나 소홀했는지를 명확히 보여준다.
대규모 개인정보 유출은 단순히 기업의 명성에 흠집을 내는 것을 넘어선다.
이는 수많은 이용자에게 직접적인 금전적, 정신적 피해를 줄 수 있는 중대한 범죄 행위로 간주되어야 한다.
낡은 보안 시스템, 안일한 관리, 그리고 기본적인 보안 수칙조차 지키지 않는 태도는 결코 용납될 수 없다.
기업은 고객의 신뢰를 바탕으로 성장한다.
그 신뢰의 가장 중요한 축 중 하나가 바로 개인정보 보호다.
이번 사건들을 통해 모든 기업은 개인정보 보호를 최우선 과제로 삼고, 끊임없이 보안 시스템을 점검하고 강화해야 한다.
기술적 조치뿐만 아니라 임직원에 대한 교육, 그리고 개인정보 생애주기 전반에 걸친 철저한 관리가 필수적이다.
개인정보 보호는 더 이상 선택 사항이 아닌, 기업의 존립과 직결된 핵심 책임임을 명심해야 한다.