(출처=개인정보위)

개인정보위, 락앤락·유베이스·썬포토에 과징금 7억100만원

개인정보보호위원회(이하 개인정보위)는 개인정보보호법을 위반한 락앤락과 유베이스, 썬포토에 과징금 총 7억100만원과 과태료 540만원을 부과했다고 9일 밝혔다. 세 사업자에는 제재 사실을 홈페이지에 공개하라는 명령도 내렸다.

개인정보위 조사 결과 세 사업자는 개인정보처리시스템에 대한 접근통제와 접속기록 관리 등 안전조치를 제대로 이행하지 않아 개인정보를 유출했다.

락앤락은 과징금 5억300만원과 과태료 540만원을 부과받았다. 해커는 2024년 4월 메일 서버의 취약점을 악용해 내부 시스템에 침입했다. 이후 같은 해 5월 29일부터 30일까지 회원 데이터베이스(DB)를 유출했다.

해커는 2024년 11월 내부 시스템에 다시 침입해 11월 22일부터 26일까지 파일서버에 저장된 업무자료를 빼냈다. 두 차례 침해로 회원 약 130만명의 이름과 휴대전화번호, 주소가 유출됐다. 임직원의 주민등록증과 운전면허증, 통장 사본 등 개인정보 1111건도 유출됐다.

락앤락은 유출 과정에서 발생한 비정상적인 대용량 통신량을 탐지하지 못했다. 해커의 협박 메일을 받은 뒤에야 유출 사실을 인지했다.

개인정보위는 락앤락이 2022년 공개된 보안 취약점을 업데이트하지 않았다고 설명했다. 주요 서버의 관리자 계정에 같은 비밀번호를 사용하고 고유식별정보를 암호화하지 않은 사실도 확인했다. 임직원 개인정보와 폐점 매장 구매자 정보 4만9466건도 파기하지 않았다.

유베이스에는 과징금 1억6800만원이 부과됐다. 해커는 2024년 4월 유베이스 대표 홈페이지의 관리자 계정에 접속해 문의게시판 이용자 1852명의 이름과 전화번호, 이메일, 회사명을 유출했다. 유출 정보는 텔레그램에 게시됐다.

유베이스는 외부에서도 관리자 페이지에 접속할 수 있도록 운영하면서 인터넷 프로토콜(IP) 주소로 접속 대상을 제한하지 않았다. 아이디와 비밀번호 외에 추가 인증수단도 적용하지 않았다. 개인정보처리시스템의 접속기록 관리도 미흡했다.

썬포토에는 과징금 3000만원이 부과됐다. 해커는 2024년 8월 썬포토 웹사이트의 관리자 계정에 접속해 회원 약 17만명의 이름과 아이디, 휴대전화번호, 성별 등을 유출했다. 주문정보 13건도 유출했다.

해커는 유출한 정보를 이용해 주문자 1명에게 썬포토 직원을 사칭한 보이스피싱을 시도했다. 썬포토도 관리자 페이지의 접속 대상을 IP 주소로 제한하지 않았고 접속기록을 보관하거나 관리하지 않았다.

개인정보위는 외부에서 개인정보처리시스템에 접속할 때 아이디와 비밀번호 외에 추가 인증수단을 적용해야 한다고 당부했다. 접속 가능한 IP 주소를 제한하고 접속기록을 정기적으로 점검해야 한다고 설명했다.

글. 바이라인네트워크
<곽중희 기자>god8889@byline.network

일간 바이라인 구독하기

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.