민감 개인정보 포함된 소송자료 1.6TB 규모 유출
내부 시스템 관리 소홀 드러나...통신사 유심 해킹 사건 피해자 소송 대리도
[보안뉴스 한세희 기자] 내부 시스템 관리를 소홀히 해 민감한 소송자료 18건을 해킹 당한 법무법인 로고스가 5억원이 넘는 과징금을 물게 됐다.
개인정보보호위원회는 20일 열린 전체회의에서 로고스에 과징금 5억2300만원과 과태료 600만원을 부과하기로 의결했다고 21일 밝혔다.
지난해 8월 로고스가 보관하던 소송자료가 다크웹에 게시됨에 따라 개인정보위가 조사에 들어간 사안이다.
▲송경희 개인정보보호위원회 위원장이 20일 정부서울청사에서 열린 전체회의에서 모두발언을 하고 있다. [자료: 연합]
해커는 로고스 관리자 계정을 휙득해 인트라넷에 접속, 4만3892건의 사건관리 리스트와 18만 5047건의 소송관련 문서를 유출했다. 이들 자료엔 의뢰인과 소송대상자, 사건명, 사건번호, 소장, 판결문, 진술조서, 신분증 등 민감 정보가 담겨 있었다. 이름, 연락처, 주소 주민등록번호, 범죄 정보 등 개인정보도 포함됐다.
유출된 자료는 1.6테라바이트 규모에 이르고, 다크웹에 판매 게시물이 올라오기도 했다.
조사 결과, 로고스는 내부 시스템 접속권한을 IP 주소 등으로 제한하지 않는 등 개인정보 유출 시도를 탐지·대응하기 위한 접근 통제 조치가 미비했다. 안전한 인증수단 없이 아이디와 비밀번호만으로 외부에서 시스템에 접속할 수 있었고, 웹페이지 취약점 점검도 소홀히 했다.
주민등록번호, 계좌번호, 비밀번호 등을 암호화하지 않고 저장했고, 보관 중인 개인정보의 보유 기간이나 구체적 파기 기준도 마련하지 않았다.
작년 9월 개인정보 유출 사실을 인지했지만, 정당한 사유 없이 1년 이상 지난 올해 9월에야 개인정보 유출 통지를 했다.
법무법인 로고스가 내부 전산시스템 관리를 소홀히 했다가 이름과 주민등록번호, 개인 범죄정보 등이 담긴 소송자료 18만건을 해킹당해 거액의 과징금을 물게 됐다.
개인정보위는 로고스가 소송대리를 위해 민감한 개인정보를 대량 보관·관리하는 법률 서비스 제공자임에도 안전조치 의무를 위반해 대규모 개인정보 유출로 이어진 점 등에서 위반 사항이 중대하다고 봤다. 유출사고 재발 방지를 위한 전반적 개인정보 보호 및 관리 체계를 강화하라고 시정명령했다.
로고스는 5월 SK텔레콤 유심 정보 해킹 사고 후 피해자 수백명을 모아 손해배상을 청구하는 공동소송 대리에 나선 바 있다.
로고스는 이날 “고객 정보를 철저히 보호해야 할 법무법인으로서 기본적 책무를 다하지 못한 점 사과드린다”며 “작년 사고와 이번 개인정보위 결정은 부족한 부분을 다시 한 번 뼈아프게 돌아보고 정보보안 시스템을 재정비하는 계기가 됐다”고 밝혔다.
또 사고를 인지한 즉시 관련 서버를 차단하는 비상 조치를 했고 곧바로 경찰과 개인정보위 등에 신고해 조사에 임했다고 밝혔다. 지난 1년간 정밀 보안 컨설팅, 네트워크 장비 전면 교체, AI 기반의 차세대 위협 탐지 및 대응 솔루션 도입 등 보안 강화 조치를 실행했다는 설명이다.
[한세희 기자(boan@boannews.com)]
내부 시스템 관리 소홀 드러나...통신사 유심 해킹 사건 피해자 소송 대리도
[보안뉴스 한세희 기자] 내부 시스템 관리를 소홀히 해 민감한 소송자료 18건을 해킹 당한 법무법인 로고스가 5억원이 넘는 과징금을 물게 됐다.
개인정보보호위원회는 20일 열린 전체회의에서 로고스에 과징금 5억2300만원과 과태료 600만원을 부과하기로 의결했다고 21일 밝혔다.
지난해 8월 로고스가 보관하던 소송자료가 다크웹에 게시됨에 따라 개인정보위가 조사에 들어간 사안이다.
▲송경희 개인정보보호위원회 위원장이 20일 정부서울청사에서 열린 전체회의에서 모두발언을 하고 있다. [자료: 연합]
해커는 로고스 관리자 계정을 휙득해 인트라넷에 접속, 4만3892건의 사건관리 리스트와 18만 5047건의 소송관련 문서를 유출했다. 이들 자료엔 의뢰인과 소송대상자, 사건명, 사건번호, 소장, 판결문, 진술조서, 신분증 등 민감 정보가 담겨 있었다. 이름, 연락처, 주소 주민등록번호, 범죄 정보 등 개인정보도 포함됐다.
유출된 자료는 1.6테라바이트 규모에 이르고, 다크웹에 판매 게시물이 올라오기도 했다.
조사 결과, 로고스는 내부 시스템 접속권한을 IP 주소 등으로 제한하지 않는 등 개인정보 유출 시도를 탐지·대응하기 위한 접근 통제 조치가 미비했다. 안전한 인증수단 없이 아이디와 비밀번호만으로 외부에서 시스템에 접속할 수 있었고, 웹페이지 취약점 점검도 소홀히 했다.
주민등록번호, 계좌번호, 비밀번호 등을 암호화하지 않고 저장했고, 보관 중인 개인정보의 보유 기간이나 구체적 파기 기준도 마련하지 않았다.
작년 9월 개인정보 유출 사실을 인지했지만, 정당한 사유 없이 1년 이상 지난 올해 9월에야 개인정보 유출 통지를 했다.
법무법인 로고스가 내부 전산시스템 관리를 소홀히 했다가 이름과 주민등록번호, 개인 범죄정보 등이 담긴 소송자료 18만건을 해킹당해 거액의 과징금을 물게 됐다.
개인정보위는 로고스가 소송대리를 위해 민감한 개인정보를 대량 보관·관리하는 법률 서비스 제공자임에도 안전조치 의무를 위반해 대규모 개인정보 유출로 이어진 점 등에서 위반 사항이 중대하다고 봤다. 유출사고 재발 방지를 위한 전반적 개인정보 보호 및 관리 체계를 강화하라고 시정명령했다.
로고스는 5월 SK텔레콤 유심 정보 해킹 사고 후 피해자 수백명을 모아 손해배상을 청구하는 공동소송 대리에 나선 바 있다.
로고스는 이날 “고객 정보를 철저히 보호해야 할 법무법인으로서 기본적 책무를 다하지 못한 점 사과드린다”며 “작년 사고와 이번 개인정보위 결정은 부족한 부분을 다시 한 번 뼈아프게 돌아보고 정보보안 시스템을 재정비하는 계기가 됐다”고 밝혔다.
또 사고를 인지한 즉시 관련 서버를 차단하는 비상 조치를 했고 곧바로 경찰과 개인정보위 등에 신고해 조사에 임했다고 밝혔다. 지난 1년간 정밀 보안 컨설팅, 네트워크 장비 전면 교체, AI 기반의 차세대 위협 탐지 및 대응 솔루션 도입 등 보안 강화 조치를 실행했다는 설명이다.
[한세희 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
