유베이스 및 썬포토에도 과징금 부과
[보안뉴스 강현주 기자] 락앤락이 집주소를 포함한 130만명의 개인정보 유출 및 구매자 정보 미파기 등으로 5억300만원의 과징금을 부과받았다. 유베이스, 썬포토도 개인정보보호법 위반으로 과징금을 부과받았다.
개인정보보호위원회(위원장 송경희)는 8일 제13회 전체회의를 열고, 개인정보 보호 법규를 위반한 3개 사업자에 대해 총 7억 100만 원의 과징금 및 540만 원의 과태료를 부과하고, 해당 사업자 홈페이지에 결과를 공표할 것을 의결했다.

[출처: 락앤락 홈페이지]
이들 사업자는 모두 개인정보처리시스템에 대한 접근통제 등 안전조치를 소홀히 하여 개인정보가 유출됐다.
락앤락은 과징금 5억300만원과 과태료 540만원 부과 및 공표명령을 받았다.
신원 미상의 공격자는 2024년 4월 메일 서버에 존재하는 취약점을 악용해 내부 시스템에 침입하여 회원 데이터베이스(DB)를 유출(1차, 2024.5.29.~2024.5.30.)했고, 이후 2024년 11월 내부 시스템에 재침입해 파일서버 내 업무자료 등을 유출(2차, 2024.11.22.~2024.11.26.)해 약 130만명의 개인정보(이름, 휴대전화번호, 주소 등) 및 임직원의 개인정보(주민등록증, 운전면허증, 통장 사본 등) 1111건을 유출했다.
락앤락은 유출 과정에서 발생한 비정상적인 대용량 트래픽을 탐지·대응하지 못해 해커의 협박메일 수신시까지 유출사실을 인지하지 못한 것으로 확인됐다. 또 2022년 공개된 보안 취약점을 업데이트 하지 않았으며, 주요 서버 관리자 계정에 동일한 비밀번호를 적용했고, 고유식별정보를 암호화하지 않는 등 안전조치 의무를 다수 위반했다.
락앤락은 임직원 개인정보 및 폐점 매장 구매자 정보(총 4만9466건)를 파기하지 않은 사실도 확인했다.
유베이스는 과징금 1억6800만원 부과 및 공표명령을 받았다.
공격자는 2024년 4월 유베이스가 운영하는 대표 홈페이지 관리자 계정으로 접속, 문의게시판 이용자 1852명의 개인정보(이름, 전화번호, 이메일, 회사명)를 유출하고 텔레그램에 게시했다.
조사 결과, 유베이스는 외부에서 관리자 페이지 접속이 가능하도록 운영하면서 접속 권한을 인터넷 프로토콜(IP) 주소 등으로 제한하지 않았다. 또안전한 인증수단 없이 아이디·비밀번호 만으로 접속이 가능하도록 운영하고, 개인정보처리시스템의 접속기록 보관·관리도 미흡했다.
썬포토는 과징금 3000만원 부과 및 공표명령을 받았다.
공격자는 2024년 8월 썬포토㈜가 운영하는 웹사이트의 관리자 계정으로 접속해 회원 약 17만 명의 개인정보(이름, 아이디, 휴대전화번호, 성별 등) 및 주문정보(13건)를 유출했다. 주문자 1인에게 썬포토 직원을 사칭한 보이스피싱을 시도한 것으로 확인됐다.
썬포토는 웹사이트 관리자 페이지에 대한 접속 권한을 인터넷 프로토콜(IP) 주소 등으로 제한하지 않았고, 개인정보처리시스템에 대한 접속기록을 보관·관리하지 않는 등 안전성 확보조치 의무를 위반한 사실이 확인됐다.
개인정보위 관계자는 “최근 개인정보처리시스템에 대한 접근통제 미흡, 안전한 인증수단 미적용 등 기본적인 안전조치 소홀로 개인정보가 유출되는 사고가 지속적으로 발생하고 있다”며 “이를 예방하기 위해 개인정보처리자는 개인정보처리시스템에 대한 접속 권한을 인터넷 프로토콜(IP) 주소 등으로 제한해야 하며, 특히 외부에서 접속이 필요한 경우에는 아이디, 비밀번호 외 추가 인증 수단을 적용해야할 것”이라고 말헸다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>














