민감한 정보가 포함된 소송자료를 대거 유출한 법무법인 로고스가 5억2300만원의 과징금을 부과받았다.
개인정보보호위원회는 지난 20일 전체 회의를 열고 개인정보보호법류를 위반한 로고스에 5억2300만원 과징금과 600만원 과태료를 부과하고, 시정 명령과 공포 명령하기로 의결했다고 21일 밝혔다.
이번 사건은 로고스가 내부 시스템에 보관하던 소송 자료를 해커가 탈취해 다크웹에 게시하면서 조사가 이뤄졌다. 유출된 소송 관련 문서는 18만5047건, 데이터 크기로는 1.59테라바이트(TB)에 달했지만 로고스는 유출 사실을 1년이 지난 뒤 늑장 신고한 것으로 나타났다.
해커는 지난해 7월부터 8월 로고스의 관리자 계정의 아이디와 비밀번호를 획득한 뒤 내부 인트라넷 시스템에 접속해 4만3892건의 사건관리 리스트를 내려받아 유출했다. 여기에는 의뢰인명, 소송상대자, 사건명, 사건번호 등이 포함됐다.
해커는 소송자료가 저장된 디렉토리에서도 18만5047건의 소송 관련 문서(1.59TB 규모)도 탈취해 유출했다. 해당 문서는 소장과 판결문, 진술 조서, 증거 서류, 금융거래 내역서, 범죄일람표, 신분증, 진단서, 통장 사본 등으로 문서 중에는 이름, 연락처, 주소, 주민등록번호, 계좌번호, 범죄정보, 건강에 대한 민감정보 같은 개인정보가 다수 포함돼 있었다.
해커는 지난해 8~9월 로고스의 메일 서버에 랜섬웨어 악성코드를 넣고 이를 실행해 해당 서버를 마비시켰다. 당시 로고스는 서버 이용이 불가능해지면서 관련 시스템을 새로 구축했다.
개인정보위 조사 결과 로고스는 내부 시스템에 접속할 수 있는 권한을 IP 주소 등으로 제한하지 않았고, 개인정보 유출 시도를 탐지하고 대응하기 위한 접근 통제 조치를 소홀히 한 것으로 나타났다. 외부에서 시스템에 접속할 때도 인증 수단 없이 아이디와 비밀번호만으로도 접속이 가능했다.
또 웹페이지에 대한 취약점 점검· 조치를 소홀히 했으며 주민등록번호와 계좌번호, 비밀번호 등을 암호화하지 않고 저장한 것으로 파악됐다. 보관 중인 개인정보의 보유 기간이나 구체적인 파기 기준도 마련하지 않았다.
특히 로고스는 개인정보 유출 사실을 지난해 9월 5일 인지했음에도 1년 이상 경과한 올해 9월 29일에서야 통지했다.
개인정보위는 "로고스의 위반사항을 매우 중대한 위반으로 판단한다"며 유출 사고 재발 방지를 위한 안전조치 강화, 주요 개인정보 암호화와 명확한 파기 지침 수립, 사고 대응 체계 정립 등 전반적인 개인정보 보호 및 관리 체계를 강화할 것을 시정명령했다.