락앤락, 개인정보 130만명 유출…개인정보위 과징금 5억 부과

락앤락, 개인정보 130만명 유출…개인정보위 과징금 5억 부과

김평화 기자
2026.07.09 10:00
구글 선호 매체 등록 구글에서 머니투데이 추가하기
(서울=뉴스1) 김명섭 기자 = 이정렬 개인정보보호위윈회 부위원장이 24일 오후 서울 종로구 세종대로 정부서울청사에서 열린 2026년 제12회 전체회의에서 모두 발언을 하고 있다.  2026.6.24/뉴스1  Copyright © 뉴스1. All rights reserved. 무단 전재 및 재배포,  AI학습 이용 금지. /사진=(서울=뉴스1) 김명섭 기자
(서울=뉴스1) 김명섭 기자 = 이정렬 개인정보보호위윈회 부위원장이 24일 오후 서울 종로구 세종대로 정부서울청사에서 열린 2026년 제12회 전체회의에서 모두 발언을 하고 있다. 2026.6.24/뉴스1 Copyright © 뉴스1. All rights reserved. 무단 전재 및 재배포, AI학습 이용 금지. /사진=(서울=뉴스1) 김명섭 기자

락앤락에서 회원 약 130만명의 개인정보가 유출된 사실이 확인돼 5억원대 과징금을 물게 됐다. 오래된 보안 취약점을 방치하고, 주요 서버 관리자 계정에 같은 비밀번호를 쓰는 등 기본적인 안전조치가 제대로 이뤄지지 않은 것으로 조사됐다.

개인정보보호위원회는 지난 8일 제13회 전체회의를 열고 개인정보 보호 법규를 위반한 락앤락, 유베이스, 썬포토 등 3개 사업자에 총 7억100만원의 과징금과 540만원의 과태료를 부과하기로 의결했다고 9일 밝혔다. 이들 사업자에는 처분 결과를 홈페이지에 공표하라는 명령도 내려졌다.

개인정보위에 따르면 제재 규모가 가장 큰 곳은 락앤락이다. 개인정보위는 락앤락에 과징금 5억300만원과 과태료 540만원을 부과했다.

해커는 2024년 4월 락앤락 메일 서버에 있던 취약점을 악용해 내부 시스템에 침입했다. 이후 같은 해 5월29일부터 30일까지 회원 데이터베이스를 빼냈고, 11월에는 내부 시스템에 다시 들어가 파일서버에 있던 업무자료 등을 유출했다. 두 차례 침입으로 회원 약 130만명의 이름, 휴대전화번호, 주소 등 개인정보와 임직원 개인정보 1111건이 유출됐다. 임직원 자료에는 주민등록증, 운전면허증, 통장 사본 등이 포함됐다.

락앤락은 유출 과정에서 발생한 비정상적인 대용량 트래픽을 탐지하거나 대응하지 못했다. 해커로부터 협박 메일을 받은 뒤에야 유출 사실을 인지한 것으로 조사됐다.

기본적인 보안 관리도 미흡했다. 락앤락은 2022년 공개된 보안 취약점을 업데이트하지 않았고, 주요 서버 관리자 계정에 동일한 비밀번호를 적용했다. 고유식별정보를 암호화하지 않은 사실도 확인됐다. 임직원 개인정보와 폐점 매장 구매자 정보 등 총 4만9466건을 파기하지 않은 점도 적발됐다.

콜센터 아웃소싱 업체 유베이스에는 과징금 1억6800만원이 부과됐다. 해커는 2024년 4월 유베이스 대표 홈페이지 관리자 계정으로 접속해 문의게시판 이용자 1852명의 이름, 전화번호, 이메일, 회사명 등을 유출한 뒤 텔레그램에 게시했다.

개인정보위 조사 결과 유베이스는 외부에서 관리자 페이지에 접속할 수 있도록 운영하면서도 IP 주소 등으로 접속 권한을 제한하지 않았다. 아이디와 비밀번호만으로 관리자 페이지에 접속할 수 있었고, 추가 인증수단도 없었다. 개인정보처리시스템 접속기록 보관·관리도 미흡했다.

사진·영상장비 판매업체 썬포토에는 과징금 3000만원이 부과됐다. 해커는 2024년 8월 썬포토 웹사이트 관리자 계정으로 접속해 회원 약 17만명의 이름, 아이디, 휴대전화번호, 성별 등 개인정보와 주문정보 13건을 유출했다. 유출 이후 주문자 1명에게 썬포토 직원을 사칭한 보이스피싱 시도가 있었던 사실도 확인됐다.

썬포토 역시 웹사이트 관리자 페이지 접속 권한을 IP 주소 등으로 제한하지 않았고, 개인정보처리시스템 접속기록을 제대로 보관·관리하지 않은 것으로 조사됐다.

개인정보위는 개인정보처리시스템 접근통제 미흡, 안전한 인증수단 미적용 등 기본 안전조치 소홀로 인한 개인정보 유출 사고가 계속 발생하고 있다고 지적했다. 개인정보위는 개인정보처리시스템 접속 권한을 IP 주소 등으로 제한하고, 외부 접속이 필요한 경우 아이디와 비밀번호 외에 추가 인증수단을 적용해야 한다고 당부했다.

<저작권자 © ‘돈이 보이는 리얼타임 뉴스’ 머니투데이. 무단전재 및 재배포, AI학습 이용 금지>

김평화 기자

.

공유