소송자료·고객정보 ‘1.6테라 해킹’…늑장신고한 법무법인에 벌금 5억 작성일 11-21 65 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">법무법인 로고스 내부 시스템 해커 침입<br>소장·증거서류·신분증·통장사본 등 탈취<br>개인정보위 “보안소홀·1년 늑장신고 책임”</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="USvGvwPKTB"> <figure class="figure_frm origin_fig" contents-hash="f8f2311385725bcbf00c1ada3c1c0011e486fad27e86bc6f55c4e96d0069bad1" dmcf-pid="uNjDjepXyq" dmcf-ptype="figure"> <p class="link_figure"><img alt="송경희 개인정보보호위원회 위원장이 20일 제23회 전체 회의에서 의사봉을 두드리고 있다. [사진 = 개인정보보호위원회]" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202511/21/mk/20251121110306589dkwe.jpg" data-org-width="700" dmcf-mid="60MxuXcnvk" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202511/21/mk/20251121110306589dkwe.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 송경희 개인정보보호위원회 위원장이 20일 제23회 전체 회의에서 의사봉을 두드리고 있다. [사진 = 개인정보보호위원회] </figcaption> </figure> <div contents-hash="1f3ab61746f3c4ade417b3401cb0157412a3613cc192b3d331f432078af7802a" dmcf-pid="7jAwAdUZTz" dmcf-ptype="general"> 의뢰인의 개인정보가 포함된 소송자료를 대거 유출한 법무법인 로고스가 5억2300만원의 과징금을 부과받았다. </div> <p contents-hash="02f17bd6f1bf2e4f8f346380fdcd4daf1dc83a794f46d79b49167630279ba0b9" dmcf-pid="zAcrcJu5h7" dmcf-ptype="general">유출된 소송 관련 문서는 18만5047건, 데이터 크기로는 1.59TB에 달했지만 로고스는 이같은 유출 사실을 1년이 지난 뒤 늑장 신고한 것으로 나타났다.</p> <p contents-hash="d85bb3168b8fb1b3be6b30f8db453be13b5a710e2339dfbbfafcf475a312aa06" dmcf-pid="qckmki71lu" dmcf-ptype="general">개인정보보호위원회는 지난 20일 제23회 전체 회의를 열고 로고스에 5억2300만원 과징금과 600만원 과태료를 부과하고, 시정 명령과 공포 명령하기로 의결했다고 21일 밝혔다.</p> <p contents-hash="dff2bb265ad73f897ff763665b76617795a4f0427837b1b0cd746c3a16f72cb0" dmcf-pid="BkEsEnztlU" dmcf-ptype="general">로고스는 지난해 내부 시스템에 보관하던 소송자료를 탈취당했으며, 해커들이 해당 자료를 다크웹에 게시하면서 조사가 이뤄졌다.</p> <p contents-hash="4de148d11e75fc8125777c1c4eb9515325c49f1b4e47969011ca86ad8fabb8d8" dmcf-pid="bEDODLqFSp" dmcf-ptype="general">자료를 탈취한 해커는 지난해 7월부터 8월 로고스의 관리자 계정정보를 획득한 뒤 내부 인트라넷 시스템에 접속했다 .이후 사건 관리 리스트 웹페이지에 들어가 의뢰인명, 소송상대자, 사건명, 사건번호 등이 포함된 4만3892건의 사건관리 리스트를 내려받아 유출했다.</p> <p contents-hash="6f3587657bdad3a869937cae5e3eda93b6c0402b6b973105e560a52dcb858617" dmcf-pid="KDwIwoB3l0" dmcf-ptype="general">또한 소송자료가 저장된 디렉토리에서도 18만5047건의 소송 관련 문서(1.59TB 규모)도 탈취해 유출했다.</p> <p contents-hash="fea24d52768c6cdb84fcb924c1211a9231b2426b9051ad953a221e23c4a5a82b" dmcf-pid="9wrCrgb0C3" dmcf-ptype="general">해당 문서는 소장부터 판결문, 진술 조서, 증거 서류, 금융거래 내역서, 범죄일람표, 신분증, 진단서, 통장 사본 등으로 이름, 연락처, 주소, 주민등록번호, 계좌번호, 범죄정보, 건강에 대한 민감정보 같은 개인정보가 다수 포함돼 있었다.</p> <p contents-hash="3acab43038c2455ffa7e24a0791513815ebd78aa0fa42e999482d780034ad75f" dmcf-pid="2gakaM3GSF" dmcf-ptype="general">데이터 탈취뿐만 아니라 해커는 로고스의 메일 서버에 랜섬웨어 악성코드를 삽입하고 이를 실행해 해당 서버를 마비시켰다. 당시 로고스는 서버 이용이 불가능해지면서 관련 시스템을 새로 구축했다.</p> <p contents-hash="337ada27ab8d2a857b629c50e246a514e881589d5d793d4a670ec03fde083bd4" dmcf-pid="VaNENR0HCt" dmcf-ptype="general">개인정보위 조사 결과 로고스는 내부 시스템에 접속할 수 있는 권한을 IP 주소 등으로 제한하지 않았고, 개인정보 유출 시도를 탐지하고 대응하기 위한 접근 통제 조치를 소홀히 한 것으로 나타났다.</p> <p contents-hash="01abba3995f00498d33d2b93b0f001f31e09c0c216444259756f1fd998f4028a" dmcf-pid="fNjDjepXy1" dmcf-ptype="general">외부에서 시스템에 접속할 때도 인증 수단 없이 아이디와 비밀번호만으로도 접속이 가능했다.</p> <p contents-hash="3f15bf87f2850cf13e37f4c71a55497cd0ffcff482d6371c8dd298bcb3785c13" dmcf-pid="4jAwAdUZC5" dmcf-ptype="general">개인정보인 주민등록번호, 계좌번호, 비밀번호 등은 암호화 없이 저장됐으며 보관 중인 개인정보의 보유기간이나 구체적인 파기 기준도 미비했다.</p> <p contents-hash="4bebe070d72d0dce7306e05538f80610911fb9bd35515f62dfca20e6eb422c79" dmcf-pid="8AcrcJu5CZ" dmcf-ptype="general">게다가 로고스는 개인정보 유출 사실을 지난해 9월 5일 인지했음에도 1년 이상 경과한 올해 9월 29일에서야 통지했다.</p> <p contents-hash="f45330e274cde278fe02b06ab2dee5be8ad46730cede4bbc11bc4212e1548876" dmcf-pid="6ckmki71TX" dmcf-ptype="general">개인정보위는 “로고스의 위반사항을 매우 중대한 위반으로 판단한다”며 과징금 5억2300만원과 과태료 600만원을 부과했다. 이어 위반 사항에 대한 시정 명령과 처분받은 사실을 홈페이지에 공표할 것을 명령했다.</p> <p contents-hash="03df471490df5dea4c967e6a3bdf8e8ab04d1602325d7128cce570661059e828" dmcf-pid="PkEsEnztCH" dmcf-ptype="general">또한 유출 사고 재발 방지를 위한 안전조치 강화, 주요 개인정보 암호화와 명확한 파기 지침 수립, 사고 대응 체계 정립 등 전반적인 개인정보 보호 및 관리 체계를 강화할 것을 시정명령했다.</p> </section> </div> <p class="" data-translation="true">Copyright © 매일경제 & mk.co.kr. 무단 전재, 재배포 및 AI학습 이용 금지</p> 관련자료 이전 삼성전자, 완제품·반도체 ‘투톱’ 체제 복원… “전영현·노태문에 힘 실어줬다” 11-21 다음 로펌에 믿고 맡겼는데… 진술조서까지 '탈탈' 털렸다 11-21 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
