송경희 개인정보보호위원회 위원장이 8일 오후 서울 종로구 세종대로 정부서울청사에서 열린 제13회 전체회의에서 모두 발언을 하고 있다. /뉴스1

개인정보보호위원회는 약 130만명의 개인정보를 유출한 락앤락에 과징금 5억300만원과 과태료 540만원을 부과했다고 9일 밝혔다.

개인정보위는 전날 열린 제13회 전체회의에서 락앤락을 비롯해 유베이스, 썬포토 등 개인정보 보호법을 위반한 3개 사업자에 총 7억100만원의 과징금과 540만원의 과태료를 부과하고, 처분 사실을 각 사 홈페이지에 공표하도록 의결했다.

개인정보위 조사 결과 락앤락은 해커가 2024년 4월 메일 서버의 보안 취약점을 악용해 내부 시스템에 침입한 뒤 같은 해 5월 말 회원 데이터베이스(DB)를 유출한 것으로 확인됐다. 이후 같은 해 11월에는 내부 시스템에 다시 침입해 파일 서버에 저장된 업무자료와 임직원 개인정보까지 추가로 빼낸 것으로 조사됐다.

이 과정에서 회원 약 130만명의 개인정보와 임직원 개인정보 1111건이 외부로 유출됐다. 회원 이름과 휴대전화번호, 주소는 물론 임직원의 주민등록증과 운전면허증, 통장 사본 등 민감한 정보도 포함됐다.

개인정보위는 락앤락이 유출 과정에서 발생한 비정상적인 대용량 트래픽을 탐지하거나 차단하지 못했고, 해커의 협박 메일을 받은 뒤에야 유출 사실을 인지한 것으로 파악했다. 또한 2022년 공개된 보안 취약점에 대한 보안 패치를 적용하지 않았으며, 주요 서버 관리자 계정에 동일한 비밀번호를 사용하고 고유식별정보를 암호화하지 않는 등 안전조치 의무를 다수 위반한 것으로 조사됐다.

아울러 임직원 개인정보와 폐점 매장 구매자 정보 4만9466건을 파기하지 않은 사실도 확인됐다. 이에 개인정보위는 락앤락에 과징금 5억300만원과 과태료 540만원을 부과하고, 처분 사실을 홈페이지에 공표하도록 명령했다.

기업 대상 콜센터 아웃소싱 서비스를 제공하는 유베이스는 2024년 대표 홈페이지 관리자 계정이 해킹돼 문의 게시판 이용자 1852명의 이름과 전화번호, 이메일, 회사명 등이 유출됐다. 해커는 탈취한 개인정보를 텔레그램에 게시한 것으로 확인됐다.

유베이스는 외부에서 관리자 페이지에 접속할 수 있도록 운영하면서도 인터넷프로토콜(IP) 주소 등으로 접근 권한을 제한하지 않았고, 아이디와 비밀번호만으로 관리자 페이지에 접속할 수 있도록 운영한 것으로 조사됐다. 개인정보처리시스템 접속기록을 제대로 보관·관리하지 않은 점도 확인됐다. 개인정보위는 유베이스에 과징금 1억6800만원을 부과하고, 처분 사실을 홈페이지에 공표하도록 했다.

사진·영상장비 판매업체인 썬포토는 2024년 관리자 계정이 해킹돼 회원 약 17만명의 개인정보와 주문정보 13건이 유출됐다. 유출된 정보에는 이름, 아이디, 휴대전화번호, 성별 등이 포함됐으며, 해커는 주문자 1명에게 썬포토 직원을 사칭한 보이스피싱을 시도한 것으로 확인됐다.

개인정보위는 썬포토 역시 관리자 페이지 접속 권한을 IP 주소 등으로 제한하지 않았고, 개인정보처리시스템 접속기록을 보관·관리하지 않는 등 안전조치 의무를 위반했다고 판단했다. 이에 과징금 3000만원을 부과하고, 처분 사실을 홈페이지에 공표하도록 했다.