소송자료 18만건 유출한 로고스…5억 2300만 과징금 철퇴 작성일 11-21 39 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">주민번호·계좌·범죄 기록·건강 정보 등 민감정보 다수 포함<br>랜섬웨어 악성코드로 시스템 재구축…접근 통제 조치 소홀</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="FpiyNR0Hlt"> <p contents-hash="c9e1d8c0784c59efe0469037564a0b988966d31b319d6d34c111eea22efb5951" dmcf-pid="3UnWjepXl1" dmcf-ptype="general">[아이뉴스24 윤소진 기자] 개인정보보호위원회(개인정보위)는 20일 개인정보 보호 법규를 위반한 법무법인 로고스에 대해 5억 2,300만 원의 과징금과 600만 원의 과태료를 부과하고, 시정명령 및 공표명령하기로 의결했다.</p> <figure class="figure_frm origin_fig" contents-hash="242a5f0e80eaf26be3c2b2a86390d17e18448cb4d152225ea8a02aa395827d84" dmcf-pid="0uLYAdUZW5" dmcf-ptype="figure"> <p class="link_figure"><img alt="개인정보위원회 [사진=박정민 기자]" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202511/21/inews24/20251121135649199juox.jpg" data-org-width="580" dmcf-mid="tLmulE8BhF" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202511/21/inews24/20251121135649199juox.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 개인정보위원회 [사진=박정민 기자] </figcaption> </figure> <p contents-hash="1e11621adbd880bba2af471638aa0b647802da2b95865c8efcc7ecd7cd51f4ca" dmcf-pid="p7oGcJu5hZ" dmcf-ptype="general">개인정보위는 로고스가 내부 시스템에 보관 ·관리 중이던 소송자료가 다크웹에</p> <p contents-hash="2a1d7de893501e09539b90ac6c3d830d5b1ce079c30ff9f58ec6c30e450cc15a" dmcf-pid="UzgHki71vX" dmcf-ptype="general">게시됨에 따라 조사에 착수했다. 조사결과 유출된 소송자료에는 의뢰인을 비롯한 다수의 고유식별정보, 민감정보 등 개인정보가 포함됐다.</p> <p contents-hash="6ea6d388a53ccae19aea19777aa351ca2df297965da87fe6ae4cd123a34b4bea" dmcf-pid="uqaXEnztCH" dmcf-ptype="general">개인정보위에 따르면 지난해 7~8월 해커는 로고스의 관리자 계정정보(아이디, 비밀번호)를 획득한 뒤 내부 인트라넷 시스템에 접속해 ‘사건 관리 리스트 웹페이지’에서</p> <p contents-hash="767c30ecbb9748098f5ba35bc61e87ffc4084dce0d5ea34b5d1d7250675ec106" dmcf-pid="7BNZDLqFSG" dmcf-ptype="general">4만3,892건의 사건관리 리스트(의뢰인명, 소송상대자, 사건명, 사건번호 등)를 내려받아 유출했다.</p> <p contents-hash="a0cae47876ac1deb14807a594878b2000dbd9326e26858196b6e99a2a197ab68" dmcf-pid="zBNZDLqFTY" dmcf-ptype="general">소송자료가 저장된 디렉토리에서는 18만5,047건(약 1.59TB 규모)의 소송관련 문서를 내려받아 유출했다. 이 문서는 소장, 판결문, 진술조서, 증거서류, 금융거래내역서, 범죄일람표, 신분증, 진단서, 통장 사본 등으로, 문서에는 이름, 연락처, 주소, 주민등록번호, 계좌번호, 범죄 정보, 건강에 관한 민감정보 등의 개인정보가 다수 포함됐다.</p> <p contents-hash="fc4e95d79d846e776dbd20394993946c7902a41f4f8dd413c7c0a25d7f799f11" dmcf-pid="qbj5woB3CW" dmcf-ptype="general">해커는 지난해 8~9월 로고스의 메일서버 등을 대상으로 랜섬웨어 악성코드를 삽입·실행, 해당 서버 이용이 불가능해져 로고스는 관련 시스템을 새로 구축했다.</p> <p contents-hash="3ed61074135ed72fa4b3784d6343a95091788ad374d35f7164fd8fcaded8906f" dmcf-pid="BKA1rgb0Sy" dmcf-ptype="general">로고스는 내부 시스템에 대한 접속권한을 IP 주소 등으로 제한하지 않는 등, 개인정보 유출시도를 탐지·대응하기 위한 접근 통제 조치를 소홀히 한 것으로 조사됐다. 외부에서 시스템 접속 시 안전한 인증수단 없이 아이디와 비밀번호만으로 접속이 가능하도록 운영했고, 웹페이지에 대한 취약점 점검· 조치를 소홀히 하였던 것으로 밝혀졌다.</p> <p contents-hash="1e3263f6af0a53a19c21ccf36e214f29364971af5a804091712aa890e109749a" dmcf-pid="b9ctmaKpyT" dmcf-ptype="general">주민등록번호, 계좌번호, 비밀번호 등을 암호화하지 않고 저장하였으며, 보관 중인 개인정보의 보유기간이나 구체적인 파기 기준도 마련하지 않은 사실도 확인됐다.</p> <p contents-hash="8a9ded9eb664e0ccd9c8e961cc9226587601584d9e12ef29e6784ff7cd8f21f5" dmcf-pid="K2kFsN9Uhv" dmcf-ptype="general">지난해 9월 5일경 개인정보 유출 사실을 인지했음에도 정당한 사유 없이 1년 이상 경과한 올해 9월 29일경에서야 개인정보 유출 통지를 해 2차피해 우려를 키운 사실도 확인됐다.</p> <p contents-hash="066733d23d00dd4501b2ba87b616071a6fc42809349330de694807d62f88ae5b" dmcf-pid="9VE3Oj2uCS" dmcf-ptype="general">이에 개인정보위는 로고스의 위반사항을 매우 중대한 위반으로 판단하고, 과징금 5억 2,300만 원과 과태료 600만 원을 부과했다. 또 위반사항에 대한 시정명령 및 처분받은 사실을 운영 중인 홈페이지에 공표할 것을 명령했다.</p> <p contents-hash="7904de857b439d684ad50b7c1e2f49ff78550715c55384a8b5d2130399d84945" dmcf-pid="2fD0IAV7ll" dmcf-ptype="general">개인정보위는 로고스가 소송대리를 위해 민감한 개인정보를 대량으로 보관·관리하는 법률 서비스 제공자로서, 보다 엄격한 개인정보 보호 및 관리 체계를 갖추고 관련 법령을 준수하여야 함에도 다수의 안전조치의무를 위반하여 대규모의 개인정보 유출로 이어진 점을 지적했다.</p> <p contents-hash="f72efad376228e8c4d49cebdfc8e4536bb07afdffb5956289bf8b7b7ef88dd0b" dmcf-pid="V4wpCcfzCh" dmcf-ptype="general">아울러 유출사고 재발 방지를 위한 안전조치 강화, 주요 개인정보 암호화 및 명확한 파기 지침 수립해 사고 대응 체계 정립 등 전반적인 개인정보 보호 및 관리 체계를 강화할 것을 시정명령했다.</p> <p contents-hash="61bd46adb7f2b5a250de5a4a0e35ff3ad54bf36b2c2e46a056d723661471f508" dmcf-pid="f8rUhk4qyC" dmcf-ptype="general">개인정보위는 "특별한 유형의 개인정보를 다량으로 보유·관리하는 처리자의 경우 보다 강력한 접근통제(IP 제한, 다중인증, 로그 기반 이상 탐지· 대처 등)와 엄격한 접근권한 관리(권한 차등화, 취급자 계정 관리 철저), 주요 정보에대한 암호화 및 비식별조치 확대, 구체화, 표준화된 파기(완전삭제) 절차의 운영및 (4)내부 인력에 대한 지속적 교육과 관리·감독 등 '위험 기반(risk-based) 강화된 보호조치'가 지속적으로 요구된다"고 당부했다.</p> <address contents-hash="aec88ff5dfc62e16c7f1dae3da47d820d46e635e0d52bfb4fe7318fc705d4444" dmcf-pid="4BNZDLqFTI" dmcf-ptype="general">/윤소진 기자<span>(sojin@inews24.com)</span> </address> </section> </div> <p class="" data-translation="true">Copyright © 아이뉴스24. 무단전재 및 재배포 금지.</p> 관련자료 이전 스티브유, 국내 활동 기습 복귀…저스디스 신보 피처링으로 11-21 다음 토요타, 美 하이브리드 차 공장 증설에 1조 3420억 투자하기로 [더게이트 CAR] 11-21 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
