티스토리 뷰
목차

안전조치 의무 위반이 불러온 보안 참사: 락앤락·유베이스·썬포토 개인정보 유출 사태의 전말과 시사점
개인정보보호위원회는 제13회 전체회의를 통해 개인정보 보호법을 위반한 락앤락, 유베이스, 썬포토 등 3개 기업에 총 7억 100만 원의 과징금과 540만 원의 과태료 부과를 의결했습니다. 조사 결과 락앤락은 보안 패치 미적용 및 관리자 계정 소홀 등으로 약 130만 명의 회원 및 임직원 정보가 유출되었으며, 대용량 트래픽을 감지하지 못해 해커의 협박 메일 수신 후에야 이를 인지했습니다. 유베이스와 썬포토 역시 IP 접속 제한 미비 및 접속기록 관리 미흡 등 안전조치 의무를 다수 위반하여 각각 1억 6천800만 원과 3천만 원의 과징금 처분을 받았습니다.
1. 사후약방문식 보안의 민낯: 락앤락 130만 명 데이터 유출 사태의 진행 과정
지속 가능한 경영의 필수 요소로 정보보호의 중요성이 날로 커지는 형국이지만, 국내 중견기업의 보안 의식 수준은 여전히 임계점을 밑돌고 있음이 여실히 드러났다. 생활용품 전문기업 락앤락에서 발생한 대규모 보안 사고는 악성 해커의 정밀 타격과 기업의 안일한 방어 체계가 맞물려 발생한 전형적인 인재(人災)형 참사이다. 조사 결과에 따르면, 해커는 2024년 4월 락앤락의 내부 메일 서버가 보유하고 있던 태생적인 보안 취약점을 정확히 공략하여 시스템 내부 권한을 획득하는 데 성공한 것으로 밝혀졌다.
내부망을 장악한 해커는 이듬해 5월 말, 핵심 자산이라 할 수 있는 고객 데이터베이스(DB)에 접근하여 대규모 유출을 감행했다. 락앤락의 보안적 결함은 여기서 그치지 않고 동년 11월에 동일한 해커 세력에 의해 내부 시스템이 재차 침투당하는 수모를 겪었다. 이 과정에서 파일서버에 저장되어 있던 업무 기밀 자료는 물론이고, 전·현직 임직원들의 개인정보 1천111건까지 외부로 무단 유출되었다. 결과적으로 약 130만 명에 달하는 방대한 규모의 회원 개인정보가 다크웹을 비롯한 사이버 암시장으로 흘러 들어가는 파국을 맞이하게 되었다.
2. 무방비로 노출된 고유식별정보: 유출된 데이터의 치명성과 가혹한 피해 범위
락앤락 사태에서 유출된 정보의 세부 항목을 살펴보면 사태의 심각성은 단순한 연락처 유출 수준을 가볍게 상회한다. 일반 회원들의 경우 이름, 휴대전화번호, 자택 주소 등 범죄에 직결될 수 있는 기초 인적 사항이 대거 포함되었다. 더욱 심각한 대목은 내부 임직원들의 핵심 고유식별정보 및 금융 데이터가 아무런 보호 장치 없이 유출되었다는 점이다. 여기에는 개개인의 신원을 증명하는 신분증 도안과 자격 검증용 운전면허증, 그리고 급여 계좌 정보가 담긴 통장 사본 등이 고스란히 포함되어 있었다.
이러한 형태의 고유식별 데이터 유출은 2차 범죄인 보이스피싱, 명의도용 대출, 비대면 금융 사기 등에 악용될 소지가 극도로 높다는 점에서 치명적이다. 조사 과정에서 락앤락은 유출 당시 발생한 비정상적인 대용량 데이터 트래픽의 변동을 감지할 수 있는 기본적인 모니터링 시스템조차 가동하지 못했던 것으로 드러났다. 심지어 대규모 유출 사태가 발발했음에도 이를 자체적으로 인지하지 못하다가, 해커가 탈취한 데이터를 빌미로 송신한 금전 요구 협박 메일을 접수하고 나서야 비로소 유출 사실을 인지하는 무능함을 노출하였다.
3. 기본적 안전조치 의무의 실종: 암호화 미비와 데이터 파기 지연의 실태
개인정보보호위원회의 정밀 조사 결과, 락앤락의 내부 시스템 관리 실태는 공공연한 법적 의무 사항들을 처참히 무시하고 있었다. 락앤락은 무려 2022년에 이미 글로벌 보안 학계 및 업계에 공표되어 패치가 배포되었던 알려진 보안 취약점에 대해 기본적인 보안 업데이트조차 적용하지 않은 채 서버를 방치해 왔다. 이는 가옥의 문을 잠그지 않고 수년간 방치한 것과 다름없는 행위이다. 이에 더해 다수의 주요 시스템 관리자 계정에 고도의 복잡성을 배제한 채 모두 동일한 비밀번호를 설정하여 사용하는 치명적인 관리 소홀을 범했다.
법령상 엄격히 규정된 고유식별정보의 암호화 의무 조항 역시 완전히 사문화되어 있었음이 증명되었다. 또한, 법적 보유 기간이 경과했거나 영업 종료 등의 이유로 마땅히 영구 파기 처리가 완료되었어야 할 임직원의 개인 데이터 및 폐점 매장 구매자 정보 4만 9천466건을 무단으로 보유하고 있었던 사실도 추가 적발되었다. 이에 개인정보위는 락앤락의 행위가 시장의 신뢰를 심각하게 훼손했다고 판단하여, 불법 행위의 경중에 따라 과징금 5억 300만 원과 과태료 540만 원의 무거운 행정처분을 선고하고 이를 자사 홈페이지에 공표하도록 명령했다.
4. 도미노처럼 무너진 동종 업계: 유베이스와 썬포토의 허술한 관리자 계정 운영
사이버 보안의 구조적 취약점은 비단 특정 기업에만 국한된 단편적인 문제가 아니었다. 국내 대형 콜센터 아웃소싱 전문 기업인 유베이스 역시 2024년 발생한 해킹 공격에 의해 대표 홈페이지의 관리자 권한을 송두리째 탈취당했다. 이로 인해 해당 기업에 서비스를 문의했던 고객 게시판 이용자 1천852명의 성명, 연락처, 전자우편 주소, 소속 회사명 등이 무단 유출되었다. 해커는 탈취한 정보를 과시하듯 모바일 메신저 텔레그램 채널에 무단 게시하는 대담함을 보이기도 했다. 조사 결과 유베이스는 외부망에서 내부 관리자 페이지로 무제한 접속이 가능하도록 포트를 개방해 두었음에도, 허가된 특정 IP 주소만을 필터링하는 최소한의 접근 통제 장치조차 마련하지 않았다.
한편, 유 유명 사진·영상 장비 유통업체인 썬포토 역시 동일한 맥락의 보안 불감증으로 호된 대가를 치르게 되었다. 썬포토는 자사 쇼핑몰의 관리자 권한이 외부 세력에 의해 피탈되면서, 서비스를 이용하던 약 17만 명의 회원 정보와 구체적인 물품 주문 데이터가 외부로 유출되는 사고를 겪었다. 특히 이 사건의 해커는 탈취한 주문 내역을 기반으로 실제 주문자에게 전화를 걸어 썬포토 내부 직원을 사칭하는 보이스피싱 범죄를 시도했던 사실이 객관적으로 확인되어 충격을 안겼다. 두 기업 모두 계정 접근 제어 실패 및 시스템 접속 기록의 보관·관리 소홀이라는 동일한 법적 의무 위반 항목이 적용되어 각각 1억 6천800만 원과 3천만 원의 과징금 형벌을 부과받았다.
5. 제도적 징벌을 넘어선 패러다임의 시급성: 기업 신뢰 자본으로서의 정보보호
이번 개인정보보호위원회의 무관용 원칙에 입각한 총 7억여 원의 과징금 철퇴는 향후 대한민국 산업계에 매우 명확한 시그널을 던지고 있다. 과거 기업들은 정보보호 예산을 단지 수익 창출에 하등 도움이 되지 않는 '일회성 매몰 비용'으로 치부하며 투자를 차일피일 미루는 경향이 짙었다. 그러나 지식정보사회에서의 개인정보는 기업의 지속 가능성을 담보하는 핵심적인 신뢰 자본이자, 유출 시 기업의 존립 자체를 흔들 수 있는 치명적인 폭탄과도 같다.
이제 기업들은 단순히 법적 규제를 우회하기 위한 형식적인 체크리스트 위주의 방어 체계에서 탈피해야 한다. 인공지능과 고도화된 스피어 피싱 기법을 결합한 지능형 지속 위협(APT) 공격에 대응하기 위해서는 내부망의 모든 접근을 상시 의심하고 검증하는 '제로 트러스트(Zero Trust)' 보안 아키텍처의 도입이 전면적으로 실현되어야 한다. 아울러 기업의 최고경영자(CEO)들은 보안 패치 적기 적용, 주기적인 모니터링 체계 확립, 유기적인 데이터 파기 프로세스 준수가 곧 리스크 관리의 핵심 축임을 명확히 인지하고 정보보호 거버넌스를 전면 쇄신해야 할 것이다.