개인정보보호위원회가 개인정보 유출사고가 일어난 법무법인 로고스에 5억원 규모의 과징금을 부과했다.
개인정보위는 전날 개최한 제23회 전체회의에서 개인정보보호법류를 위반한 로고스에 대해 5억2300만원의 과징금과 600만원의 과태료를 부과하고 시정명령 및 공표명령을 의결했다고 21일 밝혔다. 이번 사건은 로고스가 내부 시스템에 보관 ·관리 중이던 소송 자료를 해커가 획득해 다크웹에 게시하면서 조사가 이루어진 사안이다.
해커는 지난해 7~8월 로고스의 관리자 계정의 아이디와 비밀번호를 획득한 뒤 내부 인트라넷 시스템에 접속해 4만3892건의 사건관리 리스트를 내려 받아 유출했다. 여기에는 의뢰인명과 소송상대자, 사건명, 사건번호 등이 포함돼 있었다.
해커는 또 소송자료가 저장된 디렉토리에서는 1.59테라바이트(TB) 분량, 18만5047건의 소송관련 문서를 내려받아 유출했다. 해당 문서는 소장과 판결문, 진술조서, 증거서류, 금융거래내역서, 범죄일람표, 신분증, 진단서, 통장 사본 등이 포함돼 있었으며 문서 중에는 이름과 연락처, 주소, 주민등록번호, 계좌번호, 범죄 정보, 건강에 관한 민감정보 등 개인정보가 다수 포함돼 있었다. 이와 함께 해커는 지난해 8~9월 로고스의 메일서버 등을 대상으로 랜섬웨어 악성코드를 넣고 실행해 해당 서버를 이용하지 못하게 했다. 이후 로고스는 관련 시스템을 새로 구축했다.
개인정보위는 이 과정에서 로고스가 내부 시스템에 대한 접속 권한을 IP 주소 등으로 제한하지 않은 것을 비롯해 개인정보 유출 시도를 탐지하고 대응하기 위한 접근 통제 조치를 소홀히 했다고 판단했다. 로고스는 외부에서 접속 시 안전한 인증수단 없이 아이디와 비밀번호 만으로 접속이 가능하도록 시스템을 운영했다. 또 웹페이지에 대한 취약점 점검· 조치를 소홀히 했으며 주민등록번호와 계좌번호, 비밀번호 등을 암호화하지 않고 저장한 것으로 파악됐다. 보관 중인 개인정보의 보유 기간이나 구체적인 파기 기준도 마련하지 않았다. 특히 개인정보위는 로고스가 지난해 9월 5일 께 개인정보 유출 사실을 인지했지만 정당한 사유 없이 1년이 넘게 지난 올해 9월 29일 께 개인정보 유출 통지를 해 2차 피해 우려를 키웠다고 판단했다.
개인정보위는 “유출사고 재발 방지를 위한 안전 조치를 강화하고 개인정보 암호화하는 등 관련 체계를 강화하도록 시정명령했다”며 “특별한 유형의 개인정보를 다량으로 보유·관리하는 처리자는 보다 강력한 접근통제는 물론 구체적인 절차를 마련하고 지속적으로 내부 교육과 감독을 하는 노력을 해야 한다”고 말했다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
rok@sedaily.com
