IT 보안/해킹

130만 회원 개인정보 유출 락앤락, 과징금 5억 처벌

이구순 기자
파이낸셜뉴스

개인정보보호위, 락앤락·유베이스·썬포토에 총 7억 과징금

[파이낸셜뉴스] 밀폐용기 제조업체 락앤락이 해킹사고로 회원 130여명의 개인정보를 유출해 과징금 5억300만원과 과태료 540만원의 제재를 받았다.

개인정보보호위원회는 8일 제13회 전체회의를 열어 락앤락을 비롯해 유베이스와 썬포토 등 개인정보 보호법을 위반한 3개 사업자에 총 7억100만원의 과징금과 540만원의 과태료를 부과하고, 처분 사실을 각 사 홈페이지에 공표하도록 의결했다고 9일 밝혔다.

개인정보보호위 조사 결과 락앤락은 해커가 2024년 4월 메일 서버의 보안 취약점을 악용해 내부 시스템에 침입한 뒤 같은 해 5월 말 회원 데이터베이스(DB)를 유출한 것으로 드러났다. 이어서 같은 해 11월 해커가 내부 시스템에 다시 침입해 파일서버에 저장된 업무자료와 임직원 개인정보 1111건, 약 130만명의 회원 개인정보를 유출했다.

송경희 개인정보보호위원회 위원장이 8일 오후 정부서울청사에서 제13회 전체회의를 진행하고 있다. 2026.07.09. (사진=개인정보보호위원회 제공)
송경희 개인정보보호위원회 위원장이 8일 오후 정부서울청사에서 제13회 전체회의를 진행하고 있다. 2026.07.09. (사진=개인정보보호위원회 제공)

유출된 정보에는 회원 이름과 이동전화 번호, 주소를 비롯해 임직원의 주민등록증, 운전면허증, 통장 사본 등이 포함됐다.

개인정보보호위는 락앤락이 개인정보 유출 과정에서 발생한 비정상적인 대용량 트래픽을 탐지·대응하지 못해 해커의 협박 메일을 받고서야 유출 사실을 인지한 것으로 확인됐다고 설명했다.

또 2022년 공개된 보안 취약점에 대한 보안 패치를 적용하지 않았고, 주요 서버 관리자 계정에 동일한 비밀번호를 사용하거나 고유식별정보를 암호화하지 않는 등 안전조치 의무를 다수 위반한 것으로 조사됐다. 임직원 개인정보와 폐점 매장 구매자 정보 4만9466건을 파기하지 않은 사실도 확인됐다.

기업 대상 콜센터 아웃소싱 업체 유베이스는 2024년 대표 홈페이지 관리자 계정이 해킹돼 문의 게시판 이용자 1852명의 이름, 전화번호, 이메일, 회사명 등이 유출됐다. 해커는 해당 정보를 텔레그램에 게시하기도 했다.

조사 결과 유베이스는 외부에서 관리자 페이지 접속이 가능하도록 운영하면서 IP 주소 등으로 접속 권한을 제한하지 않았고, 아이디와 비밀번호만으로 관리자 페이지에 접속할 수 있도록 운영하는 한편 개인정보처리시스템 접속기록 보관·관리도 미흡했던 것으로 나타났다.

개인정보보호위는 유베이스에 과징금 1억6800만원을 부과하고, 처분 사실을 홈페이지에 공표하도록 했다.

사진·영상장비 판매업체인 썬포토는 2024년 관리자 계정이 해킹돼 회원 약 17만명의 개인정보와 주문정보 13건이 유출됐다. 유출된 개인정보에는 이름, 아이디, 이동전화번호, 성별 등이 포함됐다. 해커는 주문자 1명에게 썬포토 직원을 사칭한 보이스피싱을 시도한 것으로 확인됐다.

개인정보보호위는 썬포토가 관리자 페이지 접속 권한을 IP 주소 등으로 제한하지 않았고, 개인정보처리시스템 접속기록을 보관·관리하지 않는 등 안전조치 의무를 위반했다고 판단해 과징금 3천만원을 부과하고, 처분 사실을 홈페이지에 공표하도록 했다.

cafe9@fnnews.com 이구순 기자


#락앤락 #개인정보 유출 #과징금
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지

기자 정보