개인정보보호위원회(이하 개인정보위)는 20일 제23회 전체회의를 열고, 개인정보 보호 법규를 위반한 법무법인 로고스(이하 로고스)에 대해 과징금 5억2300만원, 과태료 600만원을 부과하고 시정명령과 공표명령을 내렸다고 21일 밝혔다.
개인정보위가 조사한 결과에 따르면 해커는 지난 2024년 7~8월경, 로고스의 관리자 계정정보를 획득한 뒤 내부 인트라넷 시스템에 접속해 사건 관리 리스트 웹페이지에서 4만3892건의 리스트(의뢰인명, 소송상대자, 사건명, 사건번호 등)를 다운로드 받아 유출했다.
이어 해커는 소송자료 디렉토리에서 18만5047건(약 1.59TB)의 문서를 추가로 탈취했다. 탈취당한 문서는 소장, 판결문, 진술조서, 증거서류, 금융거래내역서, 범죄일람표, 신분증, 진단서, 통장 사본 등이다.
해당 문서에는 이름, 연락처, 주소, 주민등록번호, 계좌번호, 범죄 정보, 건강에 관한 민감정보 등의 개인정보가 다수 포함돼 있었다.
더불어 해커는 2024년 8~9월경, 로고스의 메일서버 등을 대상으로 랜섬웨어 악성코드를 삽입한 뒤 실행했으며 이로 인해 해당 서버는 이용이 불가능해져 로고스는 관련 시스템을 새로 구축한 사실이 있다고 개인정보위는 명시했다.
해커가 탈취한 자료들은 다크웹 등에 유출됐으며 로고스의 약 2TB 규모 데이터를 5BTC(비트코인)에 판매한다고 공개한 적이 있었다.
개인정보위는 로고스가 내부 시스템에 대한 접속권한을 IP 주소 등으로 제한하지 않는 등 개인정보 유출시도를 탐지하고 대응하기 위한 접근을 통제하는 조치를 소홀히 했다고 판단했다.
아울러 지난해 9월 5일경 개인정보 유출 사실을 인지했음에도 정당한 사유 없이 1년 이상 경과한 올 9월 29일에서야 개인정보 유출을 통지해 2차 피해 가능성을 높였다.
또한 외부에서 시스템 접속 시 안전한 인증수단 없이 아이디와 비밀번호만으로 접속이 가능하도록 운영했으며, 웹페이지에 대한 취약점 점검·조치를 소홀히 했던것으로 밝혀졌다.
이 밖에 주민등록번호, 계좌번호, 비밀번호 등을 암호화하지 않고 저장했으며 보관 중인 개인정보의 보유기간이나 구체적인 파기 기준도 마련하지 않은 사실을 확인했다.
이에 따라 개인정보위는 로고스의 위반사항을 매우 중대한 위반으로 판단했다. 과징금 5억2300만원과 과태료 600만원을 부과하고, 위반사항에 대한 시정명령 및 처분받은 사실을 운영 중인 홈페이지에 공표할 것을 명령했다.
개인정보위는 "로고스가 소송대리를 위해 민감한 개인정보를 대량으로 보관·관리하는 법률 서비스 제공자로서 보다 엄격한 개인정보 보호 및 관리 체계를 갖추고, 관련 법령을 준수하여야 함에도 다수의 안전조치의무를 위반해 대규모 개인정보 유출로 이어졌다"고 지적했다.
아울러 유출사고 재발 방지를 위한 안전조치 강화, 주요 개인정보 암호화 및 명확한 파기 지침 수립, 사고 대응 체계 정립 등 전반적인 개인정보 보호 및 관리 체계를 강화할 것을 명령했다.
이 같은 조치에 대해 로고스는 "고객 정보를 철저히 보호해야 할 법무법인으로서 기본 책무를 다하지 못해 심려와 불편을 끼쳐드린 점 사과드린다"고 밝히며 "해킹 직후 관련 서버를 즉시 차단하고 경찰·개인정보위에 신고했으며 이후 1년간 정밀 보안 컨설팅, 네트워크 장비 전면 교체, AI 기반 위협 탐지·대응 솔루션 도입 등 전방위적인 보안 강화 조치를 실행했다"고 주장했다. / 월요신문=김승화 기자