[서울이코노미뉴스 박희만 기자] 법무법인 로고스가 내부 전산시스템 관리를 소홀히 했다가 이름과 주민등록번호, 개인 범죄정보 등이 담긴 소송자료 18만건을 해킹당해 거액의 과징금을 물게 됐다.
해커에 털린 자료는 1.6테라바이트(TB) 규모로, 개인정보가 은밀하게 거래되는 다크웹 상에 게시되기도 했다.
개인정보보호위원회는 20일 연 전체회의에서 대규모 소송자료가 유출된 법무법인 로고스에 과징금 5억2300만원과 과태료 600만원을 부과하기로 의결했다고 21일 밝혔다.
개인정보위는 로고스가 내부 시스템에 보관·관리하던 소송자료가 다크웹에 게시된 사실을 확인하고, 조사에 착수했다.
개인정보위에 따르면 해커는 지난해 7∼8월 아이디(ID)와 비밀번호 등 로고스의 관리자 계정정보를 빼낸 뒤 내부 인트라넷에 접속해 사건관리 리스트 4만3892건을 내려받아 유출했다.
또 소송자료가 저장된 디렉터리에서는 소장, 판결문, 증거자료, 금융거래내역서, 신분증, 진단서 등 18만5047건(약 1.59TB) 규모의 소송 관련문서를 추가로 빼냈다.
문서에는 이름, 주소, 연락처, 주민등록번호, 계좌번호, 범죄이력, 건강정보 등 민감한 개인정보가 대량 포함돼 있었다.
이렇게 유출된 소송자료는 모두 1.6테라바이트(TB·1024기가바이트) 규모에 달했다.
해커는 지난해 8∼9월 로고스의 메일서버 등에 랜섬웨어 악성코드를 심어 서버를 마비시키기도 했다. 로고스는 이로 인해 시스템을 재구축해야 했다.
이정은 개인정보위 조사조정국 조사2과장은 "로고스는 지난해 7월부터 침입 시도가 있었지만 이를 인지하지 못하다가 8월 말 메일 서버가 랜섬웨어 공격을 받으면서 인지하게 됐다"며 "로고스가 비트코인을 달라는 요구에 응하지 않자 해커가 다크웹에 샘플자료를 게시했고, 이를 확인한 로고스가 개인정보 유출 신고를 했다"고 말했다.
조사결과 로고스는 내부 시스템에 대한 접속권한을 IP 주소 등으로 제한하지 않는 등 접근·통제 조치를 소홀히 했다.
외부에서 시스템 접속시 ID와 비밀번호만으로 접속이 가능하도록 운영했고, 웹페이지에 대한 취약점 점검·조치를 소홀히 한 것으로 밝혀졌다.
또한 주민번호, 계좌번호, 비밀번호 등을 암호화하지 않고 저장했으며 보관중인 개인정보의 파기기준도 마련하지 않았다.
로고스는 지난해 9월5일께 개인정보 유출 사실을 인지하고도, 정당한 사유없이 1년 이상 지난 올해 9월29일께야 개인정보 유출 통지를 한 것으로 확인됐다.
개인정보위는 로고스의 위반사항을 '매우 중대한 위반'으로 판단했다.
개인정보보호법에 따라 매출액 기반으로 과징금을 산정하되 소송자료 대부분이 유출된 점을 고려해 매출의 상당부분을 관련 매출액으로 포함했다고 설명했다.
또 개인정보위는 로고스에 처분사실을 운영중인 홈페이지에 공표하도록 명령하는 한편, 유출사고 재발 방지를 위해 안전조치 강화, 주요 개인정보 암호화, 명확한 파기기준 마련, 사고 대응체계 구축 등 전반적인 개인정보 보호·관리 체계를 개선하라는 시정명령을 내렸다.