기사입력 2026-07-09 10:18:59
기사수정 2026-07-09 10:18:59
락앤락, 대용량 트래픽 탐지 실패…해커 메일 받고 인지
유베이스 과징금 1억6천800만원·썬포토 3천만원도 부과
개인정보보호위원회는 약 130만명의 개인정보가 유출된 락앤락에 과징금 5억300만원과 과태료 540만원을 부과했다고 9일 밝혔다.
개인정보위는 전날 열린 제13회 전체회의에서 락앤락을 비롯해 유베이스와 썬포토 등 개인정보 보호법을 위반한 3개 사업자에 총 7억100만원의 과징금과 540만원의 과태료를 부과하고, 처분 사실을 각 사 홈페이지에 공표하도록 의결했다.
송경희 개인정보보호위원장. 개인정보보호위원회 제공
조사 결과 락앤락은 해커가 2024년 4월 메일 서버의 보안 취약점을 악용해 내부 시스템에 침입한 뒤 같은 해 5월 말 회원 데이터베이스(DB)를 유출한 것으로 조사됐다.
이후 같은 해 11월 내부 시스템에 다시 침입해 파일서버에 저장된 업무자료와 임직원 개인정보 등을 추가로 유출했다.
이 과정에서 약 130만명의 회원 개인정보와 임직원 개인정보 1천111건이 외부로 빠져나갔다.
유출된 정보에는 회원 이름과 휴대전화번호, 주소를 비롯해 임직원의 주민등록증, 운전면허증, 통장 사본 등이 포함됐다.
개인정보위는 락앤락이 유출 과정에서 발생한 비정상적인 대용량 트래픽을 탐지·대응하지 못해 해커의 협박 메일을 받고서야 유출 사실을 인지한 것으로 확인됐다고 설명했다.
또 2022년 공개된 보안 취약점에 대한 보안 패치를 적용하지 않았고, 주요 서버 관리자 계정에 동일한 비밀번호를 사용하거나 고유식별정보를 암호화하지 않는 등 안전조치 의무를 다수 위반한 것으로 조사됐다.
임직원 개인정보와 폐점 매장 구매자 정보 4만9천466건을 파기하지 않은 사실도 확인됐다.
이에 개인정보위는 락앤락에 과징금 5억300만원과 과태료 540만원을 부과하고, 처분 사실을 홈페이지에 공표하도록 명령했다.
기업 대상 콜센터 아웃소싱 서비스를 제공하는 유베이스는 2024년 대표 홈페이지 관리자 계정이 해킹돼 문의 게시판 이용자 1천852명의 이름, 전화번호, 이메일, 회사명 등이 유출됐다.
해커는 해당 정보를 텔레그램에 게시하기도 했다.
조사 결과 유베이스는 외부에서 관리자 페이지 접속이 가능하도록 운영하면서 인터넷프로토콜(IP) 주소 등으로 접속 권한을 제한하지 않았고, 아이디와 비밀번호만으로 관리자 페이지에 접속할 수 있도록 운영했다.
개인정보처리시스템 접속기록 보관·관리도 미흡했던 것으로 나타났다.
개인정보위는 유베이스에 과징금 1억6천800만원을 부과하고, 처분 사실을 홈페이지에 공표하도록 했다.
사진·영상장비 판매업체인 썬포토는 2024년 관리자 계정이 해킹돼 회원 약 17만명의 개인정보와 주문정보 13건이 유출됐다. 유출된 개인정보에는 이름, 아이디, 휴대전화번호, 성별 등이 포함됐다.
해커는 주문자 1명에게 썬포토 직원을 사칭한 보이스피싱을 시도한 것으로 확인됐다.
개인정보위는 썬포토가 관리자 페이지 접속 권한을 IP 주소 등으로 제한하지 않았고, 개인정보처리시스템 접속기록을 보관·관리하지 않는 등 안전조치 의무를 위반했다고 판단해 과징금 3천만원을 부과하고, 처분 사실을 홈페이지에 공표하도록 했다.
<연합>연합>