의뢰인 계좌·주민번호 털린 로펌…알고보니 SKT 해킹 집단소송 작성일 11-21 35 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">개인정보위, 로고스에 과징금 5억원…'매우 중대한 위반'<br>"계좌·주민번호 암호화 안해…유출 알고도 1년뒤 통지"</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="8nDQek4qCE"> <figure class="figure_frm origin_fig" contents-hash="634532690d483509b1f9e0bae36238fdce55ce003256d9a69dcf589e6feb766a" dmcf-pid="6LwxdE8Bhk" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202511/21/BUSINESSWATCH/20251121155630406tqis.jpg" data-org-width="645" dmcf-mid="4MKYZBvmCD" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202511/21/BUSINESSWATCH/20251121155630406tqis.jpg" width="658"></p> </figure> <p contents-hash="ebc1ce72f7bbd10b7a95a6d2ff157d3e9df8cbec5cb91f35c34f483d08632d10" dmcf-pid="PorMJD6blc" dmcf-ptype="general">해커의 공격으로 의뢰인의 소송 문서·주민등록번호·계좌번호 등 민감한 정보가 유출된 법무법인(로펌) '로고스'가 개인정보보호위원회로부터 5억원 규모의 과징금 처분을 받았다. 로고스는 올해 4월 발생한 SK텔레콤 해킹 사태 때 의뢰인들을 모아 집단소송을 진행한 곳이다.</p> <p contents-hash="462bacf5f7b044ab1b58c08634e39b1bd329494a290a4befea692e92798fa6ff" dmcf-pid="QgmRiwPKWA" dmcf-ptype="general">개인정보위는 지난 20일 제23회 전체회의를 열고 개인정보보호법을 위반한 법무법인 로고스에 과징금 5억2300만원과 과태료 600만원을 부과하고, 시정명령을 의결했다고 21일 밝혔다. 개인정보위는 로고스의 위반사항을 매우 중대한 위반으로 판단했다.</p> <p contents-hash="86320dc7735b5c5fd5d3afa5ec777f71256d0fc69a572d5fa477a79112ccc956" dmcf-pid="xasenrQ9Sj" dmcf-ptype="general">개인정보위 조사에 따르면 해커는 지난해 7~8월 로고스의 관리자 계정정보(아이디·비밀번호)를 획득한 뒤 내부 인트라넷 시스템에 접속해 '사건 관리 리스트 웹페이지'에서 4만3892건의 사건관리 리스트(의뢰인명·소송상대자·사건명·사건번호 등)를 내려받아 유출했다. <br><br>소송자료가 저장된 디렉토리에서는 18만5047건의 소송관련 문서가 유출됐다. 이 규모는 1.59테라바이트(TB)에 달했다. 해당 문서는 소장, 판결문, 진술조서, 증거서류, 금융거래내역서, 범죄일람표, 신분증, 진단서, 통장 사본 등이었다. 이정은 개인정보위 조사2과장은 "민감한 소송 자료들이 포함된 1.59테라 규모는 굉장히 큰 규모"라며 "SK텔레콤 해킹 때가 9.8기가바이트(GB) 정도 수준이었다"고 설명했다.</p> <p contents-hash="a0c8836008cd3a8b9679722c24c761e7755df74a14eb4769db72440e84851e32" dmcf-pid="y39G5bTsyN" dmcf-ptype="general">이 문서에는 이름과 연락처, 주소, 주민등록번호, 계좌번호, 범죄 정보, 건강에 관한 민감정보 등 개인정보도 다수 포함됐다. </p> <p contents-hash="2544996d0d4ef41b3a884c6c9a61599ccd1f63a964cf8d9629eaa26410ebc73a" dmcf-pid="W02H1KyOha" dmcf-ptype="general">해커는 지난해 8~9월 해커가 로고스의 메일서버 등을 대상으로 랜섬웨어 악성코드를 삽입·실행했을 땐 해당 서버를 마비시키기도 했다.</p> <p contents-hash="27a5a2632ad20760ea1f951294ea0512834db3e3b7904b39763fcfe8e4f1ebec" dmcf-pid="YpVXt9WIWg" dmcf-ptype="general">개인정보위에 따르면 로고스는 내부 시스템에 대한 접속권한을 IP 주소(인터넷에 연결된 기기 식별번호) 등으로 제한하지 않는 등 개인정보 유출시도를 탐지·대응하기 위한 접근 통제 조치가 소홀했다. 또한 외부에서 로고스 내부 시스템에 접속할 때 안전한 인증수단 없이 아이디와 비밀번호만으로 접속이 가능하도록 운영했고, 웹페이지에 대한 취약점 점검·조치도 소홀히 했다.</p> <p contents-hash="303e8c5e9a020fcae552ba3a9ff7a84312c731ca22fb151d03ac439a5d84a2fb" dmcf-pid="GfJzKepXyo" dmcf-ptype="general">특히 주민등록번호, 계좌번호, 비밀번호 등을 암호화하지 않고 저장했다. 보관 중인 개인정보의 보유기간이나 구체적인 파기 기준도 마련하지 않았다.</p> <p contents-hash="355469132444cba50e36bd22a4fb5a9aadbb45a8aafc6cfb4c801cd57e5ce08c" dmcf-pid="H4iq9dUZvL" dmcf-ptype="general">개인정보위는 "로고스는 소송대리를 위해 민감한 개인정보를 대량으로 보관·관리하는 법률 서비스 제공자"라며 "더욱 엄격한 개인정보 보호·관리 체계를 갖추고 관련 법령을 준수해야 한다"고 지적했다.</p> <p contents-hash="87e5be0200d249ad026aa8eb76f6ad84c282bea51fbe55fddb9f020bbc476126" dmcf-pid="X8nB2Ju5yn" dmcf-ptype="general">무엇보다 지난해 9월5일 개인정보유출 사실을 인지했음에도 정당한 사유 없이 1년 이상 경과한 올해 9월29일에서야 개인정보유출 통지를 하는 등 2차 피해 우려를 키웠다.</p> <p contents-hash="c420fec9e256f992f5c1f8fad02c1cc959f5d436e51f9122e8a4e3d8c905772a" dmcf-pid="Z6LbVi71Ci" dmcf-ptype="general">통지 시점이 1년 이상 늦어진 시점과 관련 의심을 사는 대목도 있다. 로고스는 지난 4월 SK텔레콤 해킹 사태 이후 의뢰인을 모아 집단소송에 나선 로펌 중 하나다. IT업계 관계자는 "자사 의뢰인의 민감한 개인정보를 대량으로 유출해 정부 조사를 받고 있었던 로펌이 SK텔레콤에서 개인정보유출을 당한 의뢰인을 모아 영업하는 행태를 도대체 어떤 표현으로 설명할 수 있겠나"며 의아해했다.</p> <p contents-hash="920aba497f061af58529b932642036789d87b558c93d34f40d755c7b94ec47bf" dmcf-pid="5PoKfnztTJ" dmcf-ptype="general">로고스가 평판훼손과 고객이탈 등을 우려해 유출통지를 늦게 한 것 아니냐는 시선도 있다. 고객보호보다 자사이익을 우선했을 수 있다는 얘기다. </p> <p contents-hash="03b8b2424e7472761c47a6af45b8afa6e12894f12d471faa279d701c06adef92" dmcf-pid="1Qg94LqFhd" dmcf-ptype="general">개인정보위 관계자는 "시기상 의심스러운 측면이 있고, 전체회의에서도 위원들은 통지가 지연된 이유에 대해 강하게 질타했으나 지연된 진짜 이유에 대해선 단정할 수가 없었다"며 "회의에 참석한 로고스 측은 '소송자료가 워낙 방대해 정보주체를 특정하는데 시간이 걸렸다'고 답했다. 이는 논리적이지 않았고, 다만 개인정보보호체계가 너무 허술했다"고 전했다.</p> <p contents-hash="7f5af7360e88ef51244d71c4d3d6bc45deee4ef4938bdda2a8364234fa91023c" dmcf-pid="txa28oB3Ce" dmcf-ptype="general">김동훈 (99re@bizwatch.co.kr)</p> <p contents-hash="4648ba0f5bd35602840280a09a6536ac7f64e96fa5f8d00089e8fe83bee7a734" dmcf-pid="FMNV6gb0WR" dmcf-ptype="general">ⓒ비즈니스워치의 소중한 저작물입니다. 무단전재와 재배포를 금합니다.</p> </section> </div> <p class="" data-translation="true">Copyright © 비즈워치. 무단전재 및 재배포 금지.</p> 관련자료 이전 배스트데이터-래블업, 韓 AI 모델 개발 지원 가속 11-21 다음 엔씨 "'아이온2, 출시 후 DAU 평균 150만 이상" 11-21 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
