기본 보안조치 소홀, 148만명 개인정보 유출…3개사 과징금 7억원 철퇴
--- 개인정보보호위원회가 접근통제 등 안전조치 의무를 위반한 락앤락, 유베이스, 썬포토 3개 사업자에 총 7억 100만원의 과징금과 540만원의 과태료를 부과했다. 세 사업자 모두 IP 접근통제, 다중인증, 취약점 패치 등 기본적인 보안조치를 소홀히 하여 해킹 공격
https://privacynews.kr/s/5f0f3b개인정보보호위원회가 접근통제 등 안전조치 의무를 위반한 락앤락, 유베이스, 썬포토 3개 사업자에 총 7억 100만원의 과징금과 540만원의 과태료를 부과했다. 세 사업자 모두 IP 접근통제, 다중인증, 취약점 패치 등 기본적인 보안조치를 소홀히 하여 해킹 공격에 무방비로 노출된 것으로 드러났다.
사례별 분석
락앤락, 최대 130만명 정보 유출…과징금 최고액
주방용품 전문기업 락앤락은 이번 제재 대상 중 가장 큰 규모인 130만명의 개인정보 유출 사고를 일으켰다. 외부에서 내부 시스템으로 접근하는 IP에 대한 통제가 제대로 이뤄지지 않았고, 관리자 계정에 대한 다중인증(MFA)도 적용하지 않아 해커의 침입 경로를 사실상 열어둔 셈이 됐다.
유베이스, 소규모 유출에도 과징금 부과
콜센터 아웃소싱 전문업체 유베이스는 1,852명으로 상대적으로 적은 규모의 유출이 발생했다. 그러나 개인정보처리시스템에 대한 접근통제 미비와 보안 취약점 방치가 확인되어 제재를 피할 수 없었다. 이는 유출 규모와 관계없이 안전조치 의무 위반 자체가 제재 대상임을 명확히 보여준다.
썬포토, 17만명 정보 유출
사진 인화 서비스 업체 썬포토 역시 17만명의 개인정보가 유출됐다. 알려진 보안 취약점에 대한 패치를 적시에 적용하지 않아 해커가 이를 악용한 것으로 분석된다.
공통 패턴: '기본'의 실패
세 사업자의 사고에는 명확한 공통점이 존재한다.
| 위반 유형 | 내용 |
|---|---|
| IP 접근통제 미적용 | 외부 비인가 IP의 내부 시스템 접근 허용 |
| 다중인증(MFA) 미이행 | 단일 비밀번호만으로 관리자 시스템 접근 가능 |
| 취약점 패치 미적용 | 알려진 보안 취약점 방치로 공격 표면 노출 |
이는 고도의 기술이 필요한 영역이 아닌, 개인정보보호법 시행령과 안전조치 기준 고시에서 명시한 기본적인 의무사항이다. 전문가들은 "예산이나 기술력 부족을 이유로 기본 보안조치를 미루는 관행이 여전하다"며 "이번 제재가 경각심을 일깨우는 계기가 되어야 한다"고 지적했다.
기업 대응 방안
1. 접근통제 체계 즉시 점검 - 개인정보처리시스템 접속 IP 화이트리스트 운영 - VPN 등 안전한 접속 수단 의무화
2. 다중인증(MFA) 전면 도입 - 관리자 계정은 물론 개인정보 취급자 전원에 MFA 적용 - SMS 인증보다 OTP·생체인증 등 강화된 방식 권장
3. 취약점 관리 프로세스 수립 - KISA 보안공지, CVE 정보 상시 모니터링 - 긴급 패치 적용 기준과 절차 문서화
4. 정기 모의해킹 및 보안 감사 - 연 1회 이상 외부 전문기관 점검 실시 - 발견된 취약점에 대한 조치 이행 여부 추적 관리
>📚 CPPG·ISMS-P 시험 연계 포인트
>개인정보의 안전성 확보조치 기준 제6조(접근통제)
개인정보처리자는 정보통신망을 통한 불법적인 접근을 차단하기 위해 ①접속 IP 제한 ②안전한 인증수단 적용 ③비인가 접근 탐지 시스템 운영 등의 조치를 취해야 한다. 특히 외부에서 개인정보처리시스템에 접속 시 VPN 또는 전용선 사용과 함께 다중인증 적용이 필수다. 이번 사례는 제6조 위반의 전형적인 유형으로, 시험에서 자주 출제되는 영역이다.
백남정 기자 privacynews@example.com

![[진로 탐험] 중학교2학년 대표 | 염우진 ‘바이브 코더’, AI로 에듀테크 생태계를 혁신하다… WJedulab 대표의 실전 창업 스토리](https://jrwrbsncqyzmjnehprhl.supabase.co/storage/v1/object/public/pn-images/articles/1780466504673-hq35er.jpg)