[프라임경제] 락앤락이 약 130만명의 개인정보가 유출돼 과징금 5억300만원, 과태료 540만원을 부과 받았다.

송경희 개인정보보호위원회 위원장이 8일 오후 정부서울청사에서 열린 제13회 전체회의를 진행하고 있다. ⓒ 개인정보보호위원회
개인정보보호위원회(이하 개인정보위)는 지난 8일 열린 제13회 전체회의에서 개인정보 보호법을 위반한 3개 사업자에 총 7억100만원의 과징금과 540만원의 과태료를 부과하고, 처분 사실을 각 사 홈페이지에 공표하도록 의결했다고 9일 밝혔다.
개인정보위에 따르면 락앤락은 해커가 2024년 4월 메일 서버에 존재하는 취약점을 악용해 내부 시스템에 침입해 회원 데이터베이스(DB)를 유출한 것으로 드러났다.
이후 같은 해 11월 내부 시스템에 재침입해 파일서버내 업무자료 등을 유출하는 등 두 차례에 걸쳐 약 130만명의 개인정보 및 임직원의 개인정보 1111건을 유출했다.
유출된 정보에는 회원 이름과 휴대전화번호, 주소를 비롯해 임직원의 주민등록증, 운전면허증, 통장 사본 등이 포함됐다.
락앤락은 유출 과정에서 발생한 비정상적인 대용량 트래픽을 탐지·대응하지 못해 해커의 협박메일 수신시까지 유출사실을 인지하지 못한것으로 파악됐다.
또한 2022년 공개된 보안 취약점을 업데이트 하지 않았으며, 주요 서버 관리자 계정에 동일한 비밀번호를 적용하고 고유식별정보를 암호화하지 않는 등 안전조치 의무를 다수 위반했다.
임직원 개인정보 및 폐점매장 구매자 정보(총 4만9466건)를 파기하지 않은 사실도 확인했다.
이에 개인정보위는 락앤락에 과징금 5억300만원, 과태료 540만원을 부과하고, 처분받은 사실을 운영 중인 홈페이지에 공표할 것을 명령했다.
유베이스는 2024년 대표 홈페이지 관리자 계정이 해킹돼 문의게시판 이용자 1852명의 이름, 전화번호, 이메일, 회사명 등 개인정보가 유출된 것으로 드러났다. 해커는 개인정보를 텔레그램에 게시했다.
조사 결과 유베이스는 외부에서 관리자 페이지 접속이 가능하도록 운영하면서 접속 권한을 인터넷 프로토콜(IP) 주소 등으로 제한하지 않았다.
또 안전한 인증수단 없이 아이디·비밀번호 만으로 접속이 가능하도록 운영하고, 개인정보처리시스템의 접속기록 보관·관리도 미흡했다.
이에 개인정보위는 유베이스에 과징금 1억6800만원을 부과하고, 처분받은 사실을 운영 중인 홈페이지에 공표하도록 했다.
썬포트는 2024년 8월 웹사이트의 관리자 계정으로 해커가 접속해 회원 약 17만명의 개인정보 및 주문정보를 유출했고, 주문자 1인에게 썬포토 직원을 사칭한 보이스피싱을 시도한 것으로 확인됐다.
조사 결과 썬포토는 웹사이트 관리자 페이지에 대한 접속 권한을 인터넷프로토콜(IP) 주소 등으로 제한하지 않고 개인정보처리시스템에 대한 접속기록을 보관·관리하지 않는 등 안전성 확보조치 의무를 위반한 것으로 파악됐다.
이에 개인정보위는 썬포토에게 과징금 3000만원을 부과하고, 처분받은 사실을 운영 중인 홈페이지에 공표하도록 했다.