[비즈니스포스트] 개인정보보호위원회가 민감한 개인정보가 포함된 소송자료를 유출한 법무법인을 제재했다.

개인정보보호위원회는 20일 제23회 전체회의를 열고 개인정보 보호 법규를 위반한 법무법인 로고스에 5억2300만 원의 과징금과 600만 원의 과태료를 부과하고, 시정명령 및 공표명령하기로 의결했다고 21일 밝혔다.
 

이번 사건은 로고스가 내부 시스템에 보관·관리 중이던 소송자료가 다크웹에 게시됨에 따라 조사가 이뤄졌다.

해커는 2024년 7월~8월 로고스의 관리자 계정정보를 획득한 뒤 내부 인트라넷 시스템에 접속해 사건 관리 리스트 웹페이지에서 4만3892건의 사건관리 리스트를 내려받아 유출했다.

이어 소송자료가 저장된 디렉토리에서는 18만50475건(약 1.59테라바이트 규모)의 소송 관련 문서를 내려받아 유출했다.

해당 문서는 소장, 판결문, 진술조서, 증거서류, 금융거래내역서, 범죄일람표, 신분증, 진단서, 통장 사본 등으로, 문서에는 이름, 연락처, 주소, 주민등록번호, 계좌번호, 범죄 정보, 건강에 관한 민감정보 등의 개인정보가 다수 포함돼 있었다.
 
해커는 2024년 8월~9월 로고스의 메일서버 등을 대상으로 랜섬웨어 악성코드를 삽입·실행, 해당 서버 이용이 불가능해져 로고스는 관련 시스템을 새로 구축했다.

로고스는 개인정보 보호법을 위반한 것으로 파악됐다.

조사 결과, 로고스는 내부 시스템에 대한 접속권한을 IP 주소 등으로 제한하지 않는 등 개인정보 유출시도를 탐지·대응하기 위한 접근 통제 조치를 소홀히 했다. 

외부에서 시스템 접속 시 안전한 인증수단 없이 아이디와 비밀번호만으로 접속이 가능하도록 운영했고, 웹페이지에 대한 취약점 점검· 조치를 소홀히 했던 것으로 밝혀졌다.

또 주민등록번호, 계좌번호, 비밀번호 등을 암호화하지 않고 저장했고, 보관 중인 개인정보의 보유기간이나 구체적인 파기 기준도 마련하지 않은 사실도 확인됐다.

2024년 9월5일경 개인정보 유출 사실을 인지했음에도 정당한 사유 없이 1년 이상 경과한 2025년 9월29일경에서야 개인정보 유출 통지를 하여 2차 피해 우려를 키운 사실도 확인됐다.

한편 개인정보위는 20일 전체회의에서 개인정보 보호 법규를 위반한 3개 사업자에 대해 총 1억7760만 원의 과징금 및 540만 원의 과태료를 부과하고, 그 결과를 공표할 것을 의결했다.

해당 업체는 온라인 교육콘텐츠 서비스 운영 회사 ‘이젠’, 건축 전문 업체로 건축 설계상담·문의 홈페이지를 운영하는 ‘더존하우징’, 골프장 예약 플랫폼 서비스 운영 회사 ‘레저플러스’ 등이다.

이들 3개 사업자는 모두 에스큐엘(SQL) 삽입 공격으로 회원 정보가 유출된 것으로 파악됐다. 

에스큐엘 삽입 공격은 웹사이트 취약점을 이용해 악의적인 에스큐엘(SQL, 데이터베이스 명령어)문을 실행되게 함으로써 데이터베이스를 비정상적으로 조작하는 공격 기법을 말한다. 조승리 기자