송경희 개인정보보호위원회 위원장이 8일 오후 정부서울청사에서 열린 제13회 전체회의에서 의사봉을 두드리고 있다. (사진=개인정보보호위원회)
먼저, 락앤락은 과징금 5억 300만 원, 과태료 540만 원 부과 및 공표명령을 받았다. 해커는 2024년 4월 락앤락의 메일 서버에 존재하는 취약점을 악용해 내부 시스템에 침입하여 회원 DB를 유출했다. 1차 유출은 2024년 5월 29일부터 30일까지 이뤄졌다.
이후 2024년 11월 내부 시스템에 재침입하여 파일서버 내 업무자료 등을 2차 유출했다. 두 차례에 걸쳐 약 130만 명의 개인정보(이름, 휴대전화번호, 주소 등) 및 임직원의 개인정보(주민등록증, 운전면허증, 통장 사본 등) 1111건을 유출했다.
조사 결과, 락앤락은 유출 과정에서 발생한 비정상적인 대용량 트래픽을 탐지·대응하지 못해 해커의 협박메일 수신시까지 유출사실을 인지하지 못한 것으로 확인됐다.
아울러, 2022년 공개된 보안 취약점을 업데이트 하지 않았으며, 주요 서버 관리자 계정에 동일한 비밀번호를 적용했고, 고유식별정보를 암호화하지 않는 등 안전조치 의무를 다수 위반했다. 또한, 임직원 개인정보 및 폐점 매장 구매자 정보(총 4만 9466건)를 파기하지 않은 사실도 확인했다.
기업 대상 콜센터 아웃소싱 서비스 제공하는 유베이스는 과징금 1억 6800만 원 부과 및 공표명령을 받았다.
해커는 2024년 4월 유베이스가 운영하는 대표 홈페이지 관리자 계정으로 접속하여, 문의게시판 이용자 1852명의 개인정보(이름, 전화번호, 이메일, 회사명)를 유출하고 텔레그램에 게시했다.
조사 결과, 유베이스는 외부에서 관리자 페이지 접속이 가능하도록 운영하면서 접속 권한을 인터넷 프로토콜(IP) 주소 등으로 제한하지 않았다. 또한, 안전한 인증수단 없이 아이디·비밀번호 만으로 접속이 가능하도록 운영하고, 개인정보처리시스템의 접속기록 보관·관리도 미흡했다.
사진 영상장비 판매업체 썬포토는 과징금 3000만원을 부과받았다. 해커는 2024년 8월 썬포토가 운영하는 웹사이트의 관리자 계정으로 접속하여 회원 약 17만 명의 개인정보(이름, 아이디, 휴대전화번호, 성별 등) 및 주문정보(13건)를 유출했고, 주문자 1인에게 썬포토 직원을 사칭한 보이스피싱을 시도한 것으로 확인됐다.
조사 결과, 썬포토는 웹사이트 관리자 페이지에 대한 접속 권한을 IP 주소 등으로 제한하지 않았고, 개인정보처리시스템에 대한 접속기록을 보관·관리하지 않는 등 안전성 확보조치 의무를 위반한 사실이 확인됐다.
개인정보위는 “최근 개인정보처리시스템에 대한 접근통제 미흡, 안전한 인증수단 미적용 등 기본적인 안전조치 소홀로 개인정보가 유출되는 사고가 지속적으로 발생하고 있다”면서 “개인정보처리시스템에 대한 접속 권한을 인터넷 프로토콜(IP) 주소 등으로 제한해야 하며, 특히 외부에서 접속이 필요한 경우에는 아이디, 비밀번호 외 추가 인증 수단을 적용해야 한다”고 당부했다.









