플라스틱 밀폐용기 제조 업체인 락앤락이 130만명의 개인정보 유출 사고로 5억 원대 과징금을 부과받았다.
개인정보보호위원회는 지난 8일 제13회 전체회의를 열고 개인정보 보호 법규를 위반한 락앤락과 유베이스, 썬포토 등 3개 사업자에 대해 총 7억 100만 원의 과징금과 540만 원의 과태료를 부과하기로 의결했다고 9일 밝혔다.
락앤락은 지난해 두 차례 해킹 공격을 받아 약 130만명의 개인정보와 임직원 개인정보 1111건이 유출된 것으로 조사됐다.
해커는 2024년 4월 락앤락 메일 서버에 존재하는 취약점을 악용해 내부 시스템에 침입, 회원 데이터베이스(DB)를 유출했다. 이후 같은 해 11월에도 내부 시스템에 다시 침입해 파일서버 내 업무자료 등을 빼낸 것으로 확인됐다.
유출된 정보에는 이름과 휴대전화번호, 주소 등 회원 개인정보뿐 아니라 임직원의 주민등록증, 운전면허증, 통장 사본 등도 포함됐다.
개인정보위 조사 결과 락앤락은 유출 과정에서 발생한 비정상적인 대용량 트래픽을 탐지·대응하지 못했고, 해커의 협박 메일을 받고 나서야 유출 사실을 인지한 것으로 파악됐다.
또 2022년 공개된 보안 취약점을 업데이트하지 않았고, 주요 서버 관리자 계정에 동일한 비밀번호를 사용했으며, 고유식별정보를 암호화하지 않는 등 안전조치 의무를 다수 위반한 것으로 드러났다.
임직원 개인정보와 폐점 매장 구매자 정보 등 총 4만 9466건을 파기하지 않은 사실도 확인됐다.
개인정보위는 락앤락에 과징금 5억 300만 원과 과태료 540만 원을 부과하고, 처분 사실을 홈페이지에 공표하라고 명령했다.
함께 제재를 받은 유베이스의 경우 2024년 4월 해커가 대표 홈페이지 관리자 계정으로 접속해 문의게시판 이용자 1852명의 이름과 전화번호, 이메일, 회사명 등을 유출하고 텔레그램에 게시했다.
유베이스는 외부에서 관리자 페이지에 접속이 가능하도록 운영하면서 접속 권한을 IP 주소 등으로 제한하지 않았고, 추가 안전 인증수단 없이 아이디와 비밀번호만으로 접속이 가능하도록 운영했다. 유베이스에는 과징금 1억 6800만 원이 부과됐다.
썬포토 또한 2024년 8월 해커가 웹사이트 관리자 계정으로 접속해 회원 약 17만명의 개인정보와 주문정보 13건을 유출한 것으로 파악됐다. 유출 이후 주문자 1명에게는 썬포토 직원을 사칭한 보이스피싱 시도도 있었던 것으로 확인됐다.
개인정보위는 썬포토가 관리자 페이지 접속 권한을 IP 주소 등으로 제한하지 않고, 접속기록 보관·관리도 제대로 하지 않는 등 안전성 확보조치 의무를 위반했다며 과징금 3천만 원을 부과했다.
개인정보위는 "최근 개인정보처리시스템에 대한 접근통제 미흡이나 안전한 인증수단 미적용 등 기본적인 안전조치 소홀로 개인정보 유출 사고가 잇따르고 있다"고 지적했다.
그러면서 "개인정보처리시스템 접속 권한을 IP 주소 등으로 제한하고, 외부 접속이 필요한 경우에는 아이디와 비밀번호 외에 추가 인증수단을 적용하는 등 보안 조치를 강화해야 한다"고 당부했다.