속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
침해사고AI 초안

기본 보안조치 소홀, 148만명 개인정보 유출…3개사 과징금 7억원 철퇴

--- 개인정보보호위원회가 접근통제 등 안전조치 의무를 위반한 락앤락, 유베이스, 썬포토 3개 사업자에 총 7억 100만원의 과징금과 540만원의 과태료를 부과했다. 세 사업자 모두 IP 접근통제, 다중인증, 취약점 패치 등 기본적인 보안조치를 소홀히 하여 해킹 공격

백남정 기자
입력 2026년 7월 9일
단축URLhttps://privacynews.kr/s/5f0f3b

개인정보보호위원회가 접근통제 등 안전조치 의무를 위반한 락앤락, 유베이스, 썬포토 3개 사업자에 총 7억 100만원의 과징금과 540만원의 과태료를 부과했다. 세 사업자 모두 IP 접근통제, 다중인증, 취약점 패치 등 기본적인 보안조치를 소홀히 하여 해킹 공격에 무방비로 노출된 것으로 드러났다.


사례별 분석

락앤락, 최대 130만명 정보 유출…과징금 최고액

주방용품 전문기업 락앤락은 이번 제재 대상 중 가장 큰 규모인 130만명의 개인정보 유출 사고를 일으켰다. 외부에서 내부 시스템으로 접근하는 IP에 대한 통제가 제대로 이뤄지지 않았고, 관리자 계정에 대한 다중인증(MFA)도 적용하지 않아 해커의 침입 경로를 사실상 열어둔 셈이 됐다.

유베이스, 소규모 유출에도 과징금 부과

콜센터 아웃소싱 전문업체 유베이스는 1,852명으로 상대적으로 적은 규모의 유출이 발생했다. 그러나 개인정보처리시스템에 대한 접근통제 미비와 보안 취약점 방치가 확인되어 제재를 피할 수 없었다. 이는 유출 규모와 관계없이 안전조치 의무 위반 자체가 제재 대상임을 명확히 보여준다.

썬포토, 17만명 정보 유출

사진 인화 서비스 업체 썬포토 역시 17만명의 개인정보가 유출됐다. 알려진 보안 취약점에 대한 패치를 적시에 적용하지 않아 해커가 이를 악용한 것으로 분석된다.


공통 패턴: '기본'의 실패

세 사업자의 사고에는 명확한 공통점이 존재한다.

위반 유형내용
IP 접근통제 미적용외부 비인가 IP의 내부 시스템 접근 허용
다중인증(MFA) 미이행단일 비밀번호만으로 관리자 시스템 접근 가능
취약점 패치 미적용알려진 보안 취약점 방치로 공격 표면 노출

이는 고도의 기술이 필요한 영역이 아닌, 개인정보보호법 시행령과 안전조치 기준 고시에서 명시한 기본적인 의무사항이다. 전문가들은 "예산이나 기술력 부족을 이유로 기본 보안조치를 미루는 관행이 여전하다"며 "이번 제재가 경각심을 일깨우는 계기가 되어야 한다"고 지적했다.


기업 대응 방안

1. 접근통제 체계 즉시 점검 - 개인정보처리시스템 접속 IP 화이트리스트 운영 - VPN 등 안전한 접속 수단 의무화

2. 다중인증(MFA) 전면 도입 - 관리자 계정은 물론 개인정보 취급자 전원에 MFA 적용 - SMS 인증보다 OTP·생체인증 등 강화된 방식 권장

3. 취약점 관리 프로세스 수립 - KISA 보안공지, CVE 정보 상시 모니터링 - 긴급 패치 적용 기준과 절차 문서화

4. 정기 모의해킹 및 보안 감사 - 연 1회 이상 외부 전문기관 점검 실시 - 발견된 취약점에 대한 조치 이행 여부 추적 관리


📚 CPPG·ISMS-P 시험 연계 포인트

>

개인정보의 안전성 확보조치 기준 제6조(접근통제)

>

개인정보처리자는 정보통신망을 통한 불법적인 접근을 차단하기 위해 ①접속 IP 제한 ②안전한 인증수단 적용 ③비인가 접근 탐지 시스템 운영 등의 조치를 취해야 한다. 특히 외부에서 개인정보처리시스템에 접속 시 VPN 또는 전용선 사용과 함께 다중인증 적용이 필수다. 이번 사례는 제6조 위반의 전형적인 유형으로, 시험에서 자주 출제되는 영역이다.


백남정 기자 privacynews@example.com

#침해사고#개인정보보호#유출사고
백남정 기자

개인정보보호 전문 미디어 PrivacyNews 기고

개인정보보호뉴스 구독하기구글에서 팔로우

관련 기사

📌 함께 읽으면 좋은 기사