ソン・ギョンヒ個人情報保護委員会委員長が8日午後、ソウル鐘路区セジョンデロの政府ソウル庁舎で開かれた第13回全体会議で冒頭発言をしている。/News1

個人情報保護委員会は約130万人分の個人情報を流出させたLocknLock(락앤락)に対し、過料5億300万ウォンと科料540万ウォンを科したと9日明らかにした。

個人情報委は前日に開かれた第13回全体会議で、LocknLockをはじめ、Ubase(ユーベース)、Sunphoto(썬포토)など個人情報保護法に違反した3事業者に総額7億100万ウォンの過料と540万ウォンの科料を科し、処分事実を各社のホームページに公表するよう議決した。

個人情報委の調査の結果、LocknLockは2024年4月にハッカーがメールサーバーのセキュリティ脆弱性を悪用して内部システムに侵入し、同年5月末に会員データベース(DB)を流出させたことが確認された。その後、同年11月には内部システムに再び侵入し、ファイルサーバーに保存された業務資料と 임직원個人情報まで追加で抜き取ったことが調査で判明した。

この過程で会員約130万人分の個人情報と 임직원個人情報1111件が外部に流出した。会員の名前、携帯電話番号、住所はもとより、임직员の住民登録証と運転免許証、通帳写しなどの機微情報も含まれた。

個人情報委は、LocknLockが流出の過程で発生した異常な大容量トラフィックを検知または遮断できず、ハッカーから脅迫メールを受けてようやく流出事実を認知したと把握した。また、2022年に公表されたセキュリティ脆弱性へのセキュリティパッチを適用せず、主要サーバー管理者アカウントに同一のパスワードを使用し、固有識別情報を暗号化しないなど、安全措置義務を多数違反したと調査した。

あわせて、임직원個人情報と閉店店舗の購入者情報4万9466件を廃棄しなかった事実も確認された。これを受け、個人情報委はLocknLockに過料5億300万ウォンと科料540万ウォンを科し、処分事実をホームページに公表するよう命じた。

企業向けコールセンターアウトソーシングサービスを提供するUbaseは、2024年に公式ホームページの管理者アカウントがハッキングされ、問い合わせ掲示板の利用者1852人の名前、電話番号、メール、会社名などが流出した。ハッカーが奪取した個人情報をTelegramに掲載したことが確認された。

Ubaseは外部から管理者ページに接続できるよう運用しながらも、インターネットプロトコル(IP)アドレスなどでアクセス権限を制限せず、IDとパスワードだけで管理者ページに接続できるよう運用していたことが調査で分かった。個人情報処理システムの接続記録を適切に保管・管理しなかった点も確認された。個人情報委はUbaseに過料1億6800万ウォンを科し、処分事実をホームページに公表するようにした。

写真・映像機器販売業者であるSunphotoは、2024年に管理者アカウントがハッキングされ、会員約17万人の個人情報と注文情報13件が流出した。流出した情報には名前、ID、携帯電話番号、性別などが含まれ、ハッカーは注文者1人に対しSunphoto社員を装ったボイスフィッシングを試みたことが確認された。

個人情報委は、Sunphotoもまた管理者ページの接続権限をIPアドレスなどで制限せず、個人情報処理システムの接続記録を保管・管理しないなど、安全措置義務に違反したと判断した。これに過料3000万ウォンを科し、処分事実をホームページに公表するようにした。

※ 本記事はAIで翻訳されています。ご意見はこちらのフォームから送信してください。