개인정보위, 법무법인 로고스에 5억 과징금...소송자료 18만건 해킹

[파이낸셜뉴스] 민감한 개인정보가 포함된 소송 자료를 유출한 법무법인 로고스에 5억여원의 과징금 처분이 내려졌다.

개인정보보호위원회는 지난 20일 전체회의를 열고 로고스에 5억 2300만원의 과징금과 600만원의 과태료 부과를 의결했다고 21일 밝혔다.

개인정보위에 따르면 지난 2024년 8월 해커가 로고스의 관리자 계정정보를 탈취해 내부 인트라 시스템에서 4만3892건의 사건관리 리스트를 유출했다.

여기에는 의뢰인명, 소송상대자, 사건명, 사건번호 등이 포함됐다. 18만5047건(약 1.59TB 규모)의 소송관련 문서도 유출됐다. 소장, 판결문, 진술조서, 증거서류, 금융거래내역서, 범죄일람표, 신분증, 진단서, 통장 사본 등으로, 문서에는 이름, 연락처, 주소, 주민등록번호, 계좌번호, 범죄 정보, 건강에 관한 민감정보 등의 개인정보가 다수 포함되어 있었다.

개인정보위 조사 결과, 로고스는 내부 시스템에 대한 접속권한을 IP 주소 등으로 제한하지 않는 등, 개인정보 유출시도를 탐지·대응하기 위한 접근 통제 조치를 소홀히 했다. 외부에서 시스템 접속 시 안전한 인증수단 없이 아이디와 비밀번호만으로 접속이 가능하도록 운영했고, 웹페이지에 대한 취약점 점검·조치를 소홀히 했던 것으로 밝혀졌다.

또 주민등록번호, 계좌번호, 비밀번호 등을 암호화하지 않고 저장했고 보관 중인 개인정보의 보유기간이나 구체적인 파기 기준도 마련하지 않은 사실도 확인됐다.

아울러, 지난해 9월 5일께 개인정보 유출 사실을 인지했음에도 정당한 사유 없이 1년 이상 지난 올해 9월 29일에야 유출 통지를 해 2차 피해 우려를 키운 사실도 확인됐다.

개인정보위는 이와 함께 유출사고 재발 방지를 위한 안전조치 강화, 주요 개인정보 암호화 및 명확한 파기 지침 수립, 사고 대응 체계 정립 등 전반적인 개인정보 보호 및 관리 체계를 강화할 것을 시정명령했다.

개인정보위는 "특별한 유형의 개인정보를 다량으로 보유·관리하는 처리자의 경우, 보다 강력한 접근통제와 엄격한 접근권한 관리가 필요하다"면서 "내부 인력에 대한 지속적 교육과 관리·감독 등 위험 기반 강화된 보호조치가 지속적으로 요구된다"고 말했다.

yjjoe@fnnews.com 조윤주 기자