개인정보보호위원회가 락앤락을 포함한 3개 사업자의 개인정보 보호법 위반에 대해 제재를 의결했다. 락앤락은 2024년 두 차례 해킹으로 회원 약 130만 명과 임직원 정보가 유출된 데다 보안 취약점 방치와 안전조치 미흡까지 확인되며 가장 큰 제재를 받았다.
하이라이트
- 개인정보보호위원회는 6월 8일 락앤락에 개인정보 유출 책임으로 과징금 5억300만 원과 과태료 540만 원을 부과했다.
- 락앤락은 2024년 5월·11월 해킹으로 회원 130만 명 및 임직원 1111건의 개인정보가 유출됐으나, 다중 보안 취약점을 방치했다.
- 전자상거래 및 기업서비스 업계 전반에 관리자 계정 통제·보안 패치 관리 미흡으로 인해 대규모 유출 및 2차 범죄 위험성이 강조됐다.
개인정보위 제재 내용과 유출 경위
서울경제신문 보도에 따르면 개인정보보호위원회는 8일 전체회의를 열고 락앤락, 유베이스, 썬포토에 총 7억100만 원의 과징금과 540만 원의 과태료를 부과하고 처분 사실을 각 사 홈페이지에 공표하도록 의결했다. 이 가운데 락앤락에는 과징금 5억300만 원과 과태료 540만 원이 부과됐다.
조사 결과 락앤락은 2024년 5월과 11월 두 차례 해킹 공격을 받아 회원 약 130만 명의 개인정보와 임직원 개인정보 1111건이 외부로 유출됐다. 유출 정보에는 회원 이름, 휴대전화번호, 주소와 함께 임직원의 주민등록증, 운전면허증, 통장 사본 등이 포함됐다.
해커는 회사 메일 서버의 취약점을 악용해 내부 시스템에 침입한 뒤 회원 데이터베이스를 빼낸 것으로 파악됐다. 락앤락은 유출 과정에서 발생한 비정상적인 대용량 트래픽을 탐지하거나 대응하지 못했고, 해커의 협박 메일을 받은 뒤에야 유출 사실을 인지한 것으로 조사됐다.
개인정보위는 락앤락이 2022년 이미 공개된 보안 취약점 패치를 적용하지 않았고 주요 서버 관리자 계정에 동일한 비밀번호를 사용했으며 고유식별정보를 암호화하지 않는 등 안전조치 의무를 다수 위반했다고 밝혔다. 임직원 개인정보와 폐점 매장 구매자 정보 4만9466건을 파기하지 않고 보관한 사실도 적발됐다.
다른 사업자 제재와 업계 보안 시사점
유베이스는 2024년 대표 홈페이지 관리자 계정이 해킹되면서 문의 게시판 이용자 1852명의 이름, 전화번호, 이메일, 회사명 등이 유출됐다. 해커는 이 정보를 텔레그램에 게시했고, 조사에서는 외부에서 관리자 페이지 접속이 가능했음에도 IP 주소 등으로 접근 권한을 제한하지 않았으며 아이디와 비밀번호만으로 접속이 가능하도록 운영한 점이 확인됐다.개인정보위는 유베이스에 과징금 1억6800만 원을 부과하고 처분 사실 공표를 명령했다. 썬포토도 2024년 관리자 계정 해킹으로 회원 약 17만 명의 개인정보와 주문정보 13건이 유출됐고, 유출 정보는 이름, 아이디, 휴대전화번호, 성별 등을 포함했다.
특히 썬포토 사례에서는 유출 정보를 악용해 주문자 1명에게 직원을 사칭한 보이스피싱 시도가 있었던 것으로 확인됐다. 개인정보위는 썬포토가 관리자 페이지 접근 권한을 IP 주소 등으로 제한하지 않았고 개인정보처리시스템 접속기록도 보관·관리하지 않았다며 과징금 3000만 원 부과와 처분 사실 공표 조치를 내렸다.
이번 제재는 전자상거래와 기업 서비스 업계에서 기본적인 계정 통제, 보안 패치 적용, 접속기록 관리가 개인정보 보호의 핵심 통제 수단임을 다시 보여준다. 관리자 계정 보안과 이상 트래픽 탐지 체계가 미흡할 경우 대규모 유출뿐 아니라 2차 범죄로도 이어질 수 있다는 점에서 관련 기업들의 보안 투자 부담은 더 커질 것으로 보인다.
우리 매체는 개인정보 유출이 과징금과 신뢰 훼손으로 직결되면서 유통업계를 중심으로 정보보호가 핵심 경영 과제로 격상되고 있다는 점을 짚었습니다. 롯데쇼핑·이마트·현대백화점 등이 지속가능경영보고서에 침해사고 대응 체계와 투자 확대 계획을 명시하며, 유출 리스크에 대비한 조직·매뉴얼·예산 정비를 강화하고 있다는 내용이었습니다.
최신 Safety Shot 뉴스
- Forex
- Crypto