소송 관련 문서 관리를 소홀히 해 약 20만건의 문서를 유출한 법무법인 로고스가 5억원대 과징금을 부과받았다.
개인정보보호위원회(이하 개인정보위)는 지난 20일 제23회 전체회의를 열어 개인정보 보호 법규를 위반한 법무법인 로고스(이하 로고스)에게 과징금 5억2300만원과 과태료 600만 원을 부과하기로 의결했다고 21일 밝혔다.
지난해 7~8월 로고스는 해커에게 아이디, 비밀번호 등 관리자 계정정보를 탈취당했다. 해커는 로고스 내부 인트라넷 시스템에 접속해 의뢰인명, 소송상대자, 사건명 등 4만3892건의 사건관리 리스트와 18만5047건의 소송 관련 문서를 내려받아 다크웹에 게시했다. 소송 관련 문서는 소장, 판결문, 진술조서, 증거서류 등으로 이름, 연락처, 주소, 주민등록번호, 범죄 정보, 건강에 관한 민감정보 등 개인정보가 다수 포함됐다.
아울러 해커는 지난해 8~9월 로고스의 메일서버 등을 대상으로 랜섬웨어 악성코드를 삽입했다. 로고스는 메일 서버 이용이 불가능해져 관련 시스템을 새로 구축했다.
개인정보위는 로고스가 내부 시스템 접속 권한을 IP 주소 등으로 제한하지 않는 등 개인정보 유출 시도를 탐지·대응하기 위한 접근 통제 조치를 소홀히 했다고 판단했다. 외부에서 시스템에 접속할 때 안전한 인증수단 없이 아이디와 비밀번호만으로 접속이 가능하도록 운영했고, 웹페이지에 대한 취약점 점검·조치를 소홀히 했던 것으로 밝혀졌다.
또 주민등록번호, 계좌번호, 비밀번호 등을 암호화하지 않고 저장했고 보관 중인 개인정보의 보유기간이나 구체적인 파기 기준도 마련하지 않았다.
로고스는 지난해 9월5일 쯤 개인정보 유출 사실을 인지했음에도 정당한 사유 없이 1년 이상 경과한 지난 9월29일에 개인정보 유출 통지를 해 2차 피해 우려를 키웠다. 이에 개인정보위는 로고스의 위반사항을 매우 중대한 위반으로 판단했다.
개인정보위는 로고스에 위반사항에 대한 시정명령 및 처분받은 사실을 운영 중인 홈페이지에 공표할 것을 명령했다.
개인정보위는 "특별한 유형의 개인정보를 다량 보유·관리하는 처리자는 보다 강력한 접근통제와 엄격한 접근권환 관리를 시행해야 한다"며 "주요 정보에 대한 암호화 및 비식별조치 확대, 구체화·표준화된 파기 절차 운영 등이 지속 요구된다"고 설명했다.