락앤락, 개인정보 유출 과징금 5억여원
개인정보위 “조치 의무 다수 위반”
유베이스 1.6억원, 썬포토 3천만원
지난해 130만여명의 개인정보가 유출된 밀폐용기 제조업체 ‘락앤락’이 5억여원의 과징금 처분을 받았다.
개인정보보호위원회는 8일 전체회의에서 락앤락과 전화상담 업체 ‘유베이스’, 사진·영상장비 판매사 ‘썬포토’ 등 개인정보보호 법규를 위반한 3개 업체에 대해 총 7억100만원의 과징금 및 540만 원의 과태료를 부과하고, 해당 사업자 홈페이지에 결과를 공표할 것을 의결했다고 9일 밝혔다.
개인정보위는 이들 사업자가 모두 개인정보처리시스템에 대한 접근통제 등 안전조치를 소홀히 하여 개인정보가 유출됐다고 설명했다.
락앤락은 2024년 4월 메일 서버의 취약점을 이용해 내부 시스템에 침입한 해커에 의해 두 차례에 걸쳐 △약 130만 명의 이름·전화번호·주소 등을 비롯해 △임직원 주민등록증·운전면허증·통장사본 등 1111건의 개인정보가 유출됐다.
조사 결과, 락앤락은 유출 과정에서 발생한 비정상적인 대용량 트래픽을 탐지·대응하지 못해 해커의 협박메일을 받을 때까지 유출사실을 몰랐던 것으로 확인됐다. 아울러 2022년 공개된 보안 취약점을 업데이트 하지 않았으며, 주요 서버 관리자 계정에 동일한 비밀번호를 적용했고, 고유식별정보를 암호화하지 않는 등 안전조치 의무를 다수 위반한 것으로 나타났다.
개인정보위는 임직원 개인정보 및 폐점 매장 구매자 정보 4만9466건을 파기하지 않은 사실도 확인했다.
개인정보위는 락앤락에 과징금 5억 300만 원, 과태료 540만 원을 부과하고, 처분받은 사실을 운영 중인 홈페이지에 공표할 것을 명령했다.
유베이스와 썬포토는 지난해 홈페이지 관리자 계정을 해커에게 뚫렸다.
유베이스에서는 문의게시판 이용자 1852명의 이름·전화번호·이메일·회사명 등이 유출, 텔레그램에 게시됐다. 썬포토에서는 회원 약 17만명의 이름·아이디·전화번호·성별 및 주문정보 등이 유출됐다. 한 주문자는 썬포토 직원을 사칭한 전화사기 시도도 받은 것으로 확인됐다.
조사 결과 이들 회사는 외부에서 관리자 페이지 접속이 가능하도록 운영하면서 접속 권한을 인터넷 프로토콜(IP) 주소 등으로 제한하지 않았다. 개인정보처리시스템의 접속기록 보관·관리도 미흡했다.
개인정보위는 유베이스와 썬포토에 각각 과징금 1억6800만원, 3000만원을 부과하고, 처분받은 사실을 운영 중인 홈페이지에 공표토록 했다.
이재걸 기자 claritas@naeil.com