개인정보위, 대규모 정보 유출한 법무법인·온라인 플랫폼 제재

개인정보보호위원회(위원장 송경희, 이하 개인정보위)가 민감한 소송자료를 대량 유출한 법무법인 로고스와 SQL 삽입 공격으로 회원정보가 유출된 3개 기업을 대상으로 제재를 의결했다고 21일 밝혔다.

개인정보위에 따르면, 법무법인 로고스는 내부 인트라넷 시스템에서 관리하던 소송자료가 약 1.6테라바이트(TB) 규모로 유출된 사실이 확인돼 과징금 5억2300만원, 과태료 600만원, 시정명령 및 공표명령을 받았다.

해커는 지난해 7~8월 로고스의 관리자 계정 정보를 확보해 사건관리 페이지에 접근했고, 의뢰인·사건명·사건번호가 포함된 사건관리 리스트 4만3892건을 내려받았다. 이어 소장, 판결문, 금융거래내역서, 건강정보, 범죄경력 등 민감정보가 포함된 소송자료 18만5047건을 추가로 탈취한 것으로 조사됐다. 이 과정에서 로고스의 메일 서버에도 랜섬웨어가 설치돼 시스템이 마비되기도 했다.

조사 결과, 로고스는 외부 접속에 안전한 인증 절차를 적용하지 않고, 인터넷 프로토콜(IP) 기반 접근 통제도 두지 않았다. 주민등록번호·계좌번호·비밀번호 등 주요 정보를 암호화하지 않은 채 저장했으며, 내부 문서의 보유 기간이나 파기 기준도 마련되어 있지 않았다. 특히 2024년 9월 5일 사고를 인지하고도 1년 넘게 유출 통지를 하지 않아 피해 확산 우려를 키운 점이 중대한 위반 사항으로 지적됐다. 개인정보위는 로고스가 대량의 민감한 소송자료를 보관하는 기관의 특성을 감안할 때, 접근통제·암호화·파기지침 마련·사고 대응체계 정비 등 위험 기반 보호조치를 강화할 필요가 있다고 강조했다.

SQL 삽입 공격으로 개인정보가 유출된 3개 기업에도 제재가 내려졌다. 온라인 교육콘텐츠 기업 이젠은 3년 간 지속된 공격으로 회원 6만9930명의 개인정보가 유출됐으며, 이 중 3만5454명은 암호화되지 않은 주민등록번호까지 노출됐다. 건축 상담·문의 홈페이지를 운영하는 더존하우징은 3만3879명, 골프장 예약 플랫폼 기업 레저플러스는 두 차례 공격으로 총 16만807명 규모의 개인정보가 유출됐다.

이들 기업에서는 공통적으로 SQL 삽입 공격에 대한 취약점 점검이 이뤄지지 않았고, 비밀번호·주민등록번호 등 주요 정보가 충분히 암호화되지 않았다. 데이터베이스 접속기록 관리가 소홀하거나 유출 통지·신고를 지연한 사례도 확인됐다. 개인정보위는 세 기업에 총 1억7760만원의 과징금과 540만원의 과태료 부과를 결정하고, 위반 사실을 공표하도록 명령했다.

SQL 삽입 공격은 가장 널리 알려진 웹 기반 취약점 중 하나로, 공격자가 악의적인 쿼리를 입력해 데이터베이스를 직접 조작하는 방식이다. 대량의 개인정보가 한 번에 탈취될 가능성이 높아, 웹방화벽 설치나 입력값 검증 등 기본 보안 조치만 갖춰도 상당 부분 예방이 가능하다.

개인정보위는 사업자들이 기본적인 기술·관리적 조치를 소홀히 한 점을 강하게 지적하며, 중소기업 대상 자가진단·보호조치 안내도 함께 제공할 계획이다.

개인정보위 관계자는 “민감정보나 대량의 개인정보를 처리하는 기관·기업은 위험 기반 보호조치를 강화해야 한다”며 “향후 안전조치 위반에 대해 보다 엄정한 조치를 적용하겠다”고 강조했다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network