
개인정보위 철퇴 대규모 유출 기업들에 과징금 폭탄 터졌다
개인정보보호위원회는 최근 개인정보 보호법을 위반한 기업들에 대해 강력한 제재를 가했다. 위원회는 총 7억 100만 원의 과징금과 540만 원의 과태료를 부과하며 디지털 시대의 개인정보 보호 중요성을 다시 한번 상기시켰다. 이번 제재는 약 130만 명의 회원 정보가 유출된 락앤락을 비롯해 여러 기업의 안이한 보안 태세를 엄중히 경고하는 조치였다. 위원회는 위반 사실을 각 회사 홈페이지에 공표하도록 의결하며 투명성을 강조했다.
락앤락 130만명 정보 유출 충격 내부 시스템 보안 비상벨 울렸다
생활용품 기업 락앤락은 해커의 침입으로 약 130만 명에 달하는 대규모 회원 개인정보가 유출되는 심각한 사태를 겪었다. 해커는 2024년 4월 메일 서버의 보안 취약점을 악용하여 락앤락 내부 시스템에 침입했다. 이후 같은 해 5월 말에는 회원 데이터베이스 전체를 유출하는 대담함을 보였다. 더욱 충격적인 사실은 같은 해 11월 해커가 또다시 내부 시스템에 침입하여 파일 서버에 저장된 업무 자료와 임직원 개인정보 1천111건까지 추가로 빼냈다는 점이다. 유출된 정보에는 회원 이름 휴대전화번호 주소 등은 물론 임직원의 주민등록증 운전면허증 통장 사본 등 민감한 고유식별정보까지 포함되어 피해 우려를 증폭시켰다.
허술한 보안망 대규모 유출 사태 자초 기업의 안일함이 부른 참사
개인정보보호위원회의 조사 결과 락앤락의 심각한 보안 미비점들이 여럿 드러났다. 락앤락은 유출 과정에서 발생한 비정상적인 대용량 트래픽을 전혀 탐지하거나 대응하지 못했다. 결국 해커로부터 협박 메일을 받고서야 정보 유출 사실을 인지하는 치명적인 안이함을 보였다. 또한 2022년에 이미 공개되었던 보안 취약점에 대한 패치를 적용하지 않아 기본적인 보안 수칙조차 지키지 않았다. 주요 서버 관리자 계정에 동일한 비밀번호를 사용하는 등 관리 소홀도 확인되었다. 특히 주민등록증 운전면허증과 같은 고유식별정보를 암호화하지 않은 채 저장하는 등 안전 조치 의무를 다수 위반했다. 폐점 매장의 구매자 정보 4만9천466건과 임직원 개인정보를 파기하지 않은 사실도 밝혀져 총체적인 보안 관리 부실이 도마 위에 올랐다. 이에 개인정보보호위원회는 락앤락에 과징금 5억 300만 원과 과태료 540만 원을 부과하고 위반 사실을 홈페이지에 공표하도록 명령했다.
유베이스 콜센터 아웃소싱 기업도 뚫렸다 민감 정보 온라인 유출 파장
기업 대상 콜센터 아웃소싱 서비스를 제공하는 유베이스 역시 개인정보 유출 사고의 늪을 피하지 못했다. 2024년 대표 홈페이지 관리자 계정이 해킹당하면서 문의 게시판 이용자 1천852명의 개인정보가 외부로 유출되었다. 유출된 정보에는 이름 전화번호 이메일 회사명 등 중요한 연락처 정보가 포함되었다. 더욱 심각한 것은 해커가 해당 정보를 텔레그램에 게시하며 공론화하고 악용할 가능성을 높였다는 점이다. 개인정보보호위원회 조사 결과 유베이스는 외부에서 관리자 페이지 접속이 가능하도록 운영하면서도 인터넷 프로토콜 주소 등으로 접속 권한을 제한하지 않았다. 아이디와 비밀번호만으로 관리자 페이지에 접속할 수 있도록 허술하게 관리한 점도 문제로 지적되었다. 또한 개인정보처리시스템 접속 기록을 제대로 보관하고 관리하지 않아 사고 원인 분석에도 어려움을 겪었다. 개인정보보호위원회는 이러한 중대한 위반 사항을 근거로 유베이스에 과징금 1억6천800만 원을 부과하고 처분 사실을 홈페이지에 공표하도록 명령했다.
썬포토 회원 17만명 정보 유출 보이스피싱 시도까지 피해 확산 비상
사진 및 영상 장비 판매업체인 썬포토 또한 2024년 관리자 계정 해킹으로 약 17만 명의 회원 개인정보와 13건의 주문 정보가 유출되는 피해를 입었다. 유출된 개인정보에는 이름 아이디 휴대전화번호 성별 등 기본적인 정보가 포함되었다. 특히 이번 사고는 실제 보이스피싱 시도로 이어져 더욱 큰 우려를 낳았다. 해커는 유출된 정보를 이용해 주문자 1명에게 썬포토 직원을 사칭한 보이스피싱을 시도한 것으로 확인되어 개인정보 유출이 실질적인 금융 피해로 직결될 수 있음을 보여주었다. 개인정보보호위원회는 썬포토가 관리자 페이지 접속 권한을 인터넷 프로토콜 주소 등으로 제한하지 않는 등 기본적인 보안 조치를 소홀히 했다고 판단했다. 또한 개인정보처리시스템 접속 기록을 보관하고 관리하지 않는 등 안전 조치 의무를 명백히 위반했다. 이에 위원회는 썬포토에 과징금 3천만 원을 부과하고 위반 사실을 홈페이지에 공표하도록 했다.
개인정보 보호 더 이상 선택 아닌 필수 기업의 책임과 소비자의 경각심
이번 개인정보보호위원회의 엄중한 처분은 모든 기업이 개인정보 보호에 대해 안이한 태도를 버려야 한다는 강력한 메시지를 전달한다. 락앤락 유베이스 썬포토 사례에서 드러난 공통적인 문제점은 취약한 관리자 계정 관리 부실한 접속 제한 미흡한 접속 기록 보관 등 기본적인 보안 수칙조차 제대로 지켜지지 않았다는 점이다. 특히 해커의 침입을 대용량 트래픽으로 감지하지 못하고 협박 메일을 받고서야 인지하는 등 사후 대응 또한 미흡하여 피해를 키웠다. 디지털 시대에 개인정보는 기업의 가장 중요한 자산이자 고객과의 신뢰를 지탱하는 핵심 요소이다. 기업은 단순한 법적 의무를 넘어 고객 정보 보호를 최우선 가치로 삼고 지속적인 보안 투자와 시스템 강화를 통해 잠재적인 위협에 선제적으로 대응해야 한다. 소비자는 자신의 개인정보가 어떻게 관리되고 있는지 관심을 가지고 의심스러운 상황 발생 시 적극적으로 신고하는 경각심을 가져야 한다. 개인정보 침해는 단순히 한 기업의 문제를 넘어 사회 전체의 신뢰를 무너뜨리는 중대한 사안임을 인지하고 모두의 노력이 필요하다.