[디지털데일리 김보민기자] 내부 시스템에 보관하던 소송자료를 유출한 법무법인 로고스가 5억원대 과징금을 부과 받았다.

개인정보보호위원회는 법무법인 로고스에 대해 과징금 5억2300만원과 과태료 600만원을 부과하기로 의결했다고 21일 밝혔다.

개인정보위에 따르면 해커는 2024년 7월부터 8월까지 로고스 관리자 계정 정보를 획득했고, 내부 인트라넷 시스템에 접속해 '사건 관리 웹페이지'에서 자료를 내려받아 유출했다. 탈취한 자료는 4만3892건에 달했다.

소송자료가 저장된 디렉토리에서는 18만5047건 규모 소송 문서를 내려받아 유출했다. 용량으로 환산하면 약 1.59테라바이트(TB)에 달하는 규모다. 해당 문서에는 소장, 판결문, 진술조서, 증거 서류, 금융거래내역서, 범죄일람표, 신분증, 진단서, 통장 사본 등이 있었다. 문서에는 이름, 연락처, 주소, 주민등록번호, 계좌번호, 범죄 정보, 건강 등 민감정보가 포함돼 있었다.

해커는 같은 해 8월부터 9월까지 로고스 메일서버 등을 대상으로 랜섬웨어 악성코드를 삽입 및 실행했다. 이후 해당 서버 이용이 불가능해지자, 로고스는 관련 시스템을 신규 구축하기도 했다.

개인정보위는 로고스가 내부 시스템에 대한 접속권한을 IP주소 등으로 제한하지 않았고, 개인정보 유출 시도를 탐지하기 위한 접근 통제 조치를 소홀히 했다고 판단했다.

외부에서 시스템에 접속할 때 인증 수단 없이 아이디와 비밀번호만으로 접속이 가능하도록 운영한 점도 문제점으로 꼬집었다. 또한 주민등록번호 등을 암호화하지 않고 저장한 점과 보관 중인 개인정보 보유기간과 파기 기준을 마련하지 않은 사실을 확인했다.

개인정보 유출 통지도 늦은 것으로 나타났다. 개인정보위에 따르면 로고스는 2024년 9월5일경 개인정보 유출 사실을 인지했지만 사유 없이 1년 이상 경과한 올해 9월29일 통지를 완료했다.

개인정보위는 유출사고 재발을 방지하기 위해 안전조치 강화, 개인정보 암호화 및 파기 지침 수립, 사고 대응 체계 정립 등 개인정보보호 및 관리 체계를 강화할 것을 시정명령했다.

아울러 로고스처럼 특별한 유형의 개인정보를 다량 보유할 경우, 강력한 접근통제와 접근권한 관리가 필요하다고 제언했다. 주요 정보에 대한 암호화와 비식별조치를 확대하고, 위험 기반 보호조치가 요구된다고 설명했다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -