"서버 비밀번호 다 똑같았다"…130만명 정보 털린 락앤락, 과징금 5억

기사등록 2026/07/09 10:00:00

최종수정 2026/07/09 10:26:27

구글에서 선호하는 매체로 추가

메일 서버 취약점 방치하고 관리자 계정 암호 똑같이 설정해 화 자초

개인정보위, 유베이스 1억6800만원·썬포토 3000만원 과징금 부과

"외부 접속 시 IP 제한·추가 인증수단 적용해야"

[서울=뉴시스] 락앤락 CI (사진=락앤락 제공) 2025.01.22. *재판매 및 DB 금지
[서울=뉴시스] 락앤락 CI (사진=락앤락 제공) 2025.01.22. *재판매 및 DB 금지

[서울=뉴시스]윤정민 기자 = 메일 서버의 보안 약점을 방치하고 관리자 계정을 부실하게 관리해 130만명이 넘는 고객 정보를 유출한 락앤락이 5억 원대 과징금을 물게 됐다.

개인정보보호위원회는 지난 8일 제13회 전체회의를 열고 개인정보보호법을 위반한 락앤락을 상대로 과징금 5억300만원, 과태료 540만원을 부과하기로 의결했다.

조사 결과, 해커는 지난 2024년 4월 메일 서버의 보안 취약점을 악용해 락앤락 내부 시스템에 침입했다. 이어 같은 해 5월 회원 데이터베이스(DB)를 통째로 빼냈다. 해커는 같은 해 11월에도 내부 시스템에 다시 들어와 업무자료 등을 추가로 유출했다. 이 과정에서 약 130만명의 이름, 휴대전화번호, 주소 등 개인정보와 임직원의 주민등록증, 운전면허증, 통장 사본 등 개인정보 1111건이 유출됐다.

락앤락은 정보가 빠져나가는 동안 발생한 대규모 데이터 전송 흐름을 전혀 감지하지 못했다. 개인정보위는 락앤락이 해커의 협박 메일을 받고 나서야 유출 사실을 처음 알았다고 확인했다.

락앤락은 이미 2022년에 알려진 보안 취약점을 업데이트하지 않고 방치했다. 심지어 주요 서버를 관리하는 계정들의 비밀번호를 모두 동일하게 설정했다. 핵심 정보의 암호화 작업도 하지 않았다. 이미 문을 닫은 매장의 구매자 정보 4만9466건을 파기하지 않고 보관해 온 사실도 드러났다.

개인정보위는 락앤락에 과징금·과태료 부과와 함께 처분 사실을 운영 중인 홈페이지에 공표하도록 명령했다.
[서울=뉴시스] 송경희 개인정보보호위원회 위원장이 8일 오후 정부서울청사에서 열린 제13회 전체회의를 진행하고 있다. 2026.07.09. (사진=개인정보보호위원회 제공) *재판매 및 DB 금지
[서울=뉴시스] 송경희 개인정보보호위원회 위원장이 8일 오후 정부서울청사에서 열린 제13회 전체회의를 진행하고 있다. 2026.07.09. (사진=개인정보보호위원회 제공) *재판매 및 DB 금지

한편 개인정보위는 시스템 접근 통제 등 안전조치를 소홀히 해 유출 사고를 낸 유베이스와 썬포토에도 과징금을 내렸다.

기업 대상 콜센터 아웃소싱 서비스를 제공하는 유베이스에는 과징금 1억6800만원이 부과됐다. 공격자는 2024년 4월 유베이스 대표 홈페이지 관리자 계정으로 접속해 문의게시판 이용자 1852명의 이름, 전화번호, 이메일, 회사명 등을 유출하고 텔레그램에 게시했다.

개인정보위는 유베이스가 외부에서 관리자 페이지에 접속할 수 있도록 운영하면서 접속 권한을 인터넷 프로토콜(IP) 주소 등으로 제한하지 않았다고 봤다. 또 안전한 인증수단 없이 아이디와 비밀번호만으로 접속할 수 있도록 운영했고, 개인정보처리시스템 접속기록 보관·관리도 미흡했다고 판단했다.

사진·영상장비 판매업체인 썬포토에는 과징금 3000만원이 부과됐다. 공격자는 2024년 8월 썬포토 웹사이트 관리자 계정으로 접속해 회원 약 17만명의 이름, 아이디, 휴대전화번호, 성별 등 개인정보와 주문정보 13건을 유출했다. 주문자 1명에게는 썬포토 직원을 사칭한 보이스피싱도 시도한 것으로 확인됐다.

조사 결과, 썬포토도 웹사이트 관리자 페이지 접속 권한을 IP 주소 등으로 제한하지 않았고, 개인정보처리시스템 접속기록을 보관·관리하지 않은 것으로 나타났다.

최근 개인정보 유출 사고는 고도화된 해킹 기법뿐 아니라 기본 보안조치 미흡에서 비롯되는 경우가 적지 않다. 관리자 페이지를 외부에 열어두고도 IP 제한이나 다중 인증을 적용하지 않거나 오래된 취약점을 방치하면 공격자가 상대적으로 쉽게 개인정보처리시스템에 접근할 수 있다.

개인정보위는 개인정보처리자가 개인정보처리시스템 접속 권한을 IP 주소 등으로 제한해야 한다고 당부했다. 특히 외부 접속이 필요한 경우에는 아이디와 비밀번호 외 추가 인증 수단을 적용해야 한다고 강조했다.


◎공감언론 뉴시스 [email protected]
button by close ad
button by close ad

"서버 비밀번호 다 똑같았다"…130만명 정보 털린 락앤락, 과징금 5억

기사등록 2026/07/09 10:00:00 최초수정 2026/07/09 10:26:27

이시간 뉴스

많이 본 기사