
거대 기업의 충격적 개인정보 유출, 막대한 과징금 철퇴
개인정보보호위원회는 최근 약 130만 명에 달하는 대규모 개인정보 유출 사태를 일으킨 락앤락에 총 5억 300만 원의 과징금과 540만 원의 과태료를 부과하며 엄정한 책임을 물었다.
이번 제재는 단지 락앤락에만 국한되지 않았다.
이와 함께 유베이스와 썬포토 등 개인정보 보호법을 위반한 총 세 개의 사업자에 대해 전체적으로 7억 100만 원의 과징금과 540만 원의 과태료를 부과하는 강력한 조치를 취했다.
위원회는 해당 기업들에게 이번 처분 사실을 공식 홈페이지에 공표하도록 의결하여 유사 사례 재발 방지를 위한 경각심을 높였다.
해커의 이중 침투, 130만 명의 민감 정보 대거 유출
개인정보보호위원회의 심층 조사 결과 락앤락의 정보 유출은 해커가 2024년 4월, 메일 서버의 심각한 보안 취약점을 악용하여 내부 시스템에 침입하는 것으로 시작되었다.
이후 2024년 5월 말에는 핵심 회원 데이터베이스를 통째로 유출하는 충격적인 사건이 발생했다.
더욱이 해커는 이에 그치지 않고 같은 해 11월, 또다시 내부 시스템에 침입하여 파일 서버에 보관되어 있던 업무 자료와 임직원의 민감한 개인정보까지 추가로 빼돌렸다.
이 일련의 과정에서 약 130만 명에 달하는 방대한 양의 회원 개인정보와 1,111건의 임직원 개인정보가 외부로 고스란히 유출되는 사상 초유의 사태가 벌어졌다.
유출된 정보의 범위는 회원의 이름, 휴대전화 번호, 주소와 같은 기본 정보는 물론, 임직원의 주민등록증 사본, 운전면허증 사본, 심지어 통장 사본까지 포함되어 그 심각성을 더했다.
대기업의 안이한 보안 인식, 비정상 트래픽마저 놓쳤다
개인정보보호위원회의 조사 결과는 락앤락의 안이한 보안 의식을 적나라하게 드러냈다.
락앤락은 정보 유출 과정에서 발생한 비정상적인 대용량 트래픽을 전혀 탐지하거나 적절히 대응하지 못했다.
심지어 해커로부터 협박성 전자우편을 받고 나서야 비로소 유출 사실을 인지하는 치명적인 보안 허점을 보였다.
또한 2022년에 이미 공개된 보안 취약점에 대한 패치를 전혀 적용하지 않는 등 기본적인 보안 관리에 소홀했다.
주요 서버 관리자 계정에 동일한 비밀번호를 반복하여 사용하고, 고유 식별 정보와 같은 민감한 데이터를 암호화하지 않는 등 개인정보 안전 조치 의무를 광범위하게 위반했다.
더욱 충격적인 사실은 폐점한 매장의 구매자 정보 4만 9천466건과 임직원 개인정보를 법적 기한이 지났음에도 불구하고 제대로 파기하지 않았다는 점이다.
이러한 총체적 보안 부실에 대해 개인정보보호위원회는 락앤락에 과징금 5억 300만 원과 과태료 540만 원을 부과하고, 강력히 처분 사실을 홈페이지에 공표할 것을 명령했다.
아웃소싱 기업 유베이스, 관리자 페이지 허술한 관리 도마 위
기업 대상 콜센터 아웃소싱 서비스를 제공하는 유베이스 역시 심각한 개인정보 유출 사고를 겪었다.
2024년, 유베이스의 대표 홈페이지 관리자 계정이 해킹당하면서 문의 게시판 이용자 1,852명의 이름, 전화번호, 전자우편 주소, 회사명 등 중요 정보가 외부로 유출되었다.
더욱이 유출된 정보는 해커에 의해 인기 메신저인 텔레그램에 게시되기까지 하여 피해 확산 우려를 키웠다.
조사 결과, 유베이스는 외부에서도 관리자 페이지 접속이 가능하도록 운영하면서도 인터넷 프로토콜 주소 등으로 접속 권한을 제한하지 않는 등 기본적인 보안 조치를 소홀히 했다.
또한 아이디와 비밀번호만으로 관리자 페이지에 접속할 수 있도록 허술하게 시스템을 운영했으며, 개인정보 처리 시스템의 접속 기록 보관 및 관리 또한 미흡했던 것으로 드러났다.
개인정보보호위원회는 이러한 유베이스의 중대한 과실에 대해 1억 6천800만 원의 과징금을 부과하고, 유출 사실을 홈페이지에 공표할 것을 명령했다.
사진 장비 판매 썬포토, 고객 정보 유출 넘어 보이스피싱 시도까지
사진 및 영상 장비 판매 업체인 썬포토 또한 2024년에 관리자 계정 해킹으로 인해 심각한 피해를 입었다.
이 사고로 약 17만 명에 달하는 회원의 개인정보와 13건의 주문 정보가 유출되는 결과를 낳았다.
유출된 개인정보에는 회원의 이름, 아이디, 휴대전화 번호, 성별 등 민감한 정보가 다수 포함되어 있었다.
더욱이 해커는 유출된 정보를 악용하여 주문자 중 한 명에게 썬포토 직원을 사칭한 보이스피싱을 시도하는 대범함까지 보였다.
개인정보보호위원회는 썬포토가 관리자 페이지 접속 권한을 인터넷 프로토콜 주소 등으로 제한하지 않고 운영한 점을 지적했다.
또한 개인정보 처리 시스템의 접속 기록을 제대로 보관하거나 관리하지 않는 등 개인정보 안전 조치 의무를 명백히 위반했다고 판단했다.
이에 개인정보보호위원회는 썬포토에 3천만 원의 과징금을 부과하고, 역시 처분 사실을 홈페이지에 공표하도록 명령했다.
반복되는 개인정보 유출 사태, 기업 보안 의식 전환이 시급하다
이번 개인정보보호위원회의 강력한 제재는 기업들의 안이한 개인정보 보호 의식에 경종을 울리는 중요한 사건이다.
세 기업의 사례에서 공통적으로 발견된 것은 비정상적인 접근 탐지 실패, 최신 보안 패치 미적용, 허술한 관리자 계정 관리, 그리고 민감 정보 암호화 미흡 등 기본적인 안전 조치 위반이었다.
특히 대규모 회원 데이터를 다루는 기업일수록 보안 시스템에 대한 지속적인 투자와 철저한 관리 감독이 필수적이라는 교훈을 남겼다.
개인정보 유출은 단순한 기업의 문제가 아니라 소비자 신뢰 하락과 사회 전반의 보안 불감증으로 이어질 수 있는 심각한 사안이다.
따라서 모든 기업은 개인정보 보호를 최우선 가치로 여기고, 최고 수준의 보안 시스템 구축 및 운영에 만전을 기해야 할 것이다.