개인정보위, 락앤락 등 3개사에 과징금 7억100만원 부과

Photo Image
개인정보위는 지난 8일 제13회 전체회의를 개최했다.

개인정보보호위원회는 개인정보 보호 법규를 위반한 락앤락, 유베이스, 썬포토 등 3개 사업자에 총 7억100만원의 과징금과 540만원의 과태료를 부과했다고 9일 밝혔다.

락앤락에는 과징금 5억300만원과 과태료 540만원이 부과됐다. 해커는 2024년 4월 메일 서버 취약점을 악용해 내부 시스템에 침입한 뒤 5월 회원 데이터베이스(DB)를 유출했다. 같은 해 11월에는 내부 시스템에 다시 침입해 파일서버 내 업무자료 등을 빼냈다.

두 차례 유출로 회원 약 130만명의 이름, 휴대전화번호, 주소 등 개인정보와 임직원의 주민등록증, 운전면허증, 통장 사본 등 개인정보 1111건이 유출됐다.

개인정보위 조사 결과 락앤락은 유출 과정에서 발생한 비정상적인 대용량 트래픽을 탐지·대응하지 못했다. 2022년 공개된 보안 취약점을 업데이트하지 않았고, 주요 서버 관리자 계정에 동일한 비밀번호를 사용했다. 고유식별정보를 암호화하지 않고, 임직원 개인정보와 폐점 매장 구매자 정보 4만9466건을 파기하지 않은 사실도 확인됐다.

유베이스에는 과징금 1억6800만원이 부과됐다. 해커는 2024년 4월 유베이스 대표 홈페이지 관리자 계정으로 접속해 문의게시판 이용자 1852명의 이름, 전화번호, 이메일, 회사명을 유출하고 텔레그램에 게시했다. 유베이스는 관리자 페이지 접속 권한을 인터넷 프로토콜(IP) 주소 등으로 제한하지 않았고, 아이디와 비밀번호만으로 접속할 수 있도록 운영한 것으로 조사됐다.

썬포토에는 과징금 3000만원이 부과됐다. 해커는 2024년 8월 썬포토 웹사이트 관리자 계정으로 접속해 회원 약 17만명의 개인정보와 주문정보 13건을 유출했다. 개인정보위는 썬포토가 관리자 페이지 접속 권한을 IP 주소 등으로 제한하지 않았고 접속기록 보관·관리도 하지 않았다고 밝혔다.

개인정보위는 “개인정보처리시스템 접속 권한을 IP 주소 등으로 제한하고, 외부 접속이 필요한 경우 아이디와 비밀번호 외 추가 인증수단을 적용해야 한다”고 당부했다.


박진형 기자 jin@etnews.com

브랜드 뉴스룸