속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
침해사고AI 초안

기본 보안조치 실패, 148만명 개인정보 유출…3개사 과징금 7억원 철퇴

--- 개인정보보호위원회가 락앤락·유베이스·썬포토 3개 사업자에 대해 총 7억 100만원의 과징금과 540만원의 과태료를 부과했다. IP 접근통제, 다중인증, 취약점 패치 등 기본적인 안전조치를 소홀히 해 해킹 공격에 무방비로 노출된 결과, 총 148만명의 개인정보가

백남정 기자
입력 2026년 7월 10일·조회 3
단축URLhttps://privacynews.kr/s/d27f13

개인정보보호위원회가 락앤락·유베이스·썬포토 3개 사업자에 대해 총 7억 100만원의 과징금과 540만원의 과태료를 부과했다. IP 접근통제, 다중인증, 취약점 패치 등 기본적인 안전조치를 소홀히 해 해킹 공격에 무방비로 노출된 결과, 총 148만명의 개인정보가 유출되는 대형 침해사고로 이어졌다.


사례별 상세 분석

락앤락: 130만명 유출, 과징금 최대 규모

생활용품 기업 락앤락은 이번 처분 대상 중 가장 많은 130만명의 개인정보를 유출했다. 개인정보위 조사 결과, 외부에서 내부 시스템으로 접근하는 IP에 대한 접근통제가 미흡했으며, 관리자 계정에 대한 다중인증(MFA)도 적용하지 않은 것으로 드러났다. 공격자는 이러한 허점을 이용해 고객 데이터베이스에 침투, 대규모 개인정보를 탈취했다.

유베이스: 소규모지만 책임은 동일

콜센터 운영업체 유베이스는 1,852명으로 유출 규모는 상대적으로 작았으나, 보안 취약점에 대한 패치를 적시에 수행하지 않아 해킹 경로를 제공한 점이 문제가 됐다. 개인정보위는 유출 규모와 관계없이 안전조치의무 위반 자체를 엄중히 판단했다.

썬포토: 17만명 유출, 웹 취약점 방치

사진 인화 서비스 업체 썬포토는 17만명의 개인정보가 유출됐다. 웹 애플리케이션의 알려진 취약점을 장기간 방치해 SQL 인젝션 등 기본적인 공격 기법에 노출된 것으로 파악됐다.


공통 패턴: '기본'의 부재

세 사업자의 침해사고에서 공통적으로 발견되는 패턴은 기술적·관리적 보호조치의 기본기 부재다.

위반 유형관련 조항위반 사업자
IP 접근통제 미흡개인정보보호법 제29조락앤락
다중인증 미적용안전조치 기준 고시 제6조락앤락
보안 취약점 패치 지연안전조치 기준 고시 제9조유베이스, 썬포토

개인정보위는 "이번 사건들은 고도화된 해킹이 아닌, 이미 알려진 공격 기법에 당한 사례"라며 "기본적인 보안수칙만 준수했어도 충분히 예방 가능했다"고 지적했다.


기업 대응 방안

개인정보를 처리하는 기업은 다음 사항을 즉시 점검해야 한다.

  • 접근통제 강화: 관리자 페이지 및 DB 서버에 대한 IP 화이트리스트 적용
  • 다중인증 의무화: 개인정보처리시스템 접근 시 OTP·생체인증 등 추가 인증 도입
  • 취약점 관리 체계화: 월 1회 이상 보안 패치 현황 점검, CVSS 7.0 이상 취약점 긴급 패치
  • 침해사고 대응 훈련: 반기별 모의훈련을 통한 탐지·대응 역량 확보

📚 CPPG·ISMS-P 시험 연계 포인트

>

개인정보의 안전성 확보조치 기준 고시 제5조(접근권한의 관리), 제6조(접근통제)

>

- 개인정보처리시스템에 대한 접근권한은 업무 수행에 필요한 최소한의 범위로 차등 부여해야 한다.

- 정보통신망을 통한 불법 접근을 방지하기 위해 침입차단시스템, 침입탐지시스템을 설치·운영해야 하며, 안전한 인증수단을 적용해야 한다.

- 개인정보취급자가 외부에서 개인정보처리시스템에 접속할 때는 가상사설망(VPN) 또는 전용선 등 안전한 접속수단을 적용해야 한다.

>

👉 이번 사례는 시험에서 '기술적 보호조치 위반 유형'으로 자주 출제되는 대표 사례다.


백남정 기자 privacywatch@example.com

#침해사고#개인정보보호#유출사고
백남정 기자

개인정보보호 전문 미디어 PrivacyNews 기고

개인정보보호뉴스 구독하기구글에서 팔로우

관련 기사

📌 함께 읽으면 좋은 기사