속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
개인정보보호

개인정보위, 접근통제 소홀 락앤락·유베이스·썬포토 등 3개 사업자에 과징금 7억 원 부과

개인정보보호위원회가 접근통제 등 안전조치 의무를 위반한 락앤락·유베이스·썬포토 등 3개 사업자에 총 7억 100만 원의 과징금과 540만 원의 과태료를 부과했다.

백남정 기자
입력 2026년 7월 9일·조회 74·원문 보기 ↗
단축URLhttps://privacynews.kr/s/2c1a7c
개인정보위, 접근통제 소홀 락앤락·유베이스·썬포토 등 3개 사업자에 과징금 7억 원 부과

핵심 요약

개인정보보호위원회(위원장 송경희, 이하 '개인정보위')는 7월 8일 제13회 전체회의를 열고, 개인정보 보호 법규를 위반한 3개 사업자에 대해 총 7억 100만 원의 과징금 및 540만 원의 과태료를 부과하고 홈페이지 공표를 명령했다. 제재 대상은 ①밀폐용기 등 플라스틱 제품 제조업체 ㈜락앤락, ②기업 대상 콜센터 아웃소싱 서비스 제공업체 ㈜유베이스, ③사진·영상장비 판매업체 썬포토㈜다. 세 사업자 모두 개인정보처리시스템에 대한 접근통제 등 기본적인 안전조치를 소홀히 하여 개인정보 유출 사고가 발생했다.


주요 내용

㈜락앤락 — 과징금 5억 300만 원·과태료 540만 원 부과 및 공표명령

신원 미상의 해커는 2024년 4월 락앤락의 메일 서버 취약점을 악용해 내부 시스템에 침입했다. 이후 두 차례에 걸쳐 약 130만 명의 회원 개인정보(이름·휴대전화번호·주소 등)와 임직원 개인정보(주민등록증·운전면허증·통장 사본 등) 1,111건을 유출했다.

  • 1차 유출 (2024년 5월 29~30일): 회원 데이터베이스(DB) 유출
  • 2차 유출 (2024년 11월 22~26일): 파일서버 내 업무자료 등 유출

조사 결과 확인된 주요 위반 사항은 다음과 같다.

  • 비정상적인 대용량 트래픽 탐지·대응 체계 부재로, 해커의 협박 메일을 수신할 때까지 유출 사실을 인지하지 못함
  • 2022년에 공개된 보안 취약점에 대한 업데이트 미적용
  • 주요 서버 관리자 계정에 동일 비밀번호 사용
  • 고유식별정보(주민등록번호 등) 암호화 미이행
  • 임직원 개인정보 및 폐점 매장 구매자 정보 총 49,466건 미파기

개인정보위는 ㈜락앤락에 과징금 5억 300만 원과 과태료 540만 원을 부과하고 홈페이지 공표를 명령했다.


㈜유베이스 — 과징금 1억 6,800만 원 부과 및 공표명령

해커는 2024년 4월 유베이스 대표 홈페이지 관리자 계정에 접속해 문의게시판 이용자 1,852명의 개인정보(이름·전화번호·이메일·회사명)를 유출하고 텔레그램에 게시했다.

주요 위반 사항은 다음과 같다.

  • 외부에서 관리자 페이지 접속이 가능하도록 운영하면서 IP 주소 등으로 접속 권한 미제한
  • 아이디·비밀번호만으로 접속 가능하도록 운영, 추가 인증수단(다중 인증) 미적용
  • 개인정보처리시스템 접속기록 보관·관리 미흡

개인정보위는 ㈜유베이스에 과징금 1억 6,800만 원을 부과하고 홈페이지 공표를 명령했다.


썬포토㈜ — 과징금 3,000만 원 부과 및 공표명령

해커는 2024년 8월 썬포토㈜ 웹사이트 관리자 계정에 접속해 회원 약 17만 명의 개인정보(이름·아이디·휴대전화번호·성별 등)와 주문정보 13건을 유출했다. 이 과정에서 주문자 1인을 대상으로 썬포토㈜ 직원을 사칭한 보이스피싱 시도까지 발생했다.

주요 위반 사항은 다음과 같다.

  • 관리자 페이지에 대한 IP 주소 등 접속 권한 제한 미적용
  • 개인정보처리시스템 접속기록 보관·관리 미이행

개인정보위는 썬포토㈜에 과징금 3,000만 원을 부과하고 홈페이지 공표를 명령했다.


전문가 분석

이번 처분은 업종을 불문하고 기초적인 접근통제 미비가 대규모 개인정보 유출로 이어질 수 있음을 다시 한번 확인시켜 준다. 개인정보 보호 실무 관점에서 다음 시사점을 주목할 필요가 있다.

첫째, IP 접근통제와 다중 인증(MFA)은 선택이 아닌 법적 의무다. 「개인정보의 안전성 확보조치 기준」은 외부에서 개인정보처리시스템에 접속하는 경우 IP 제한, 가상사설망(VPN) 등 안전한 접속 수단을 적용하도록 규정하고 있다. 유베이스와 썬포토의 사례는 관리자 페이지를 외부에 개방하면서도 이러한 기초 조치조차 이행하지 않은 전형적인 위반 유형이다.

둘째, 취약점 관리와 모니터링 체계 부재는 피해를 눈덩이처럼 키운다. 락앤락의 경우 2022년에 이미 공개된 취약점을 방치했고, 2차 침해까지 허용하는 등 사후 대응도 미흡했다. 공개된 취약점(CVE)에 대한 주기적인 패치 적용과 이상 트래픽 탐지·대응 체계 구축이 필수적이다.

셋째, 개인정보 보유 기간 관리도 처분 대상이다. 락앤락은 파기 의무를 다하지 않아 불필요하게 보유하던 임직원 및 폐점 매장 구매자 정보까지 유출됐다. 개인정보 생애주기 관리, 특히 파기 절차의 실질적 이행이 중요하다.

넷째, 개인정보 유출은 2차 피해로 이어진다. 썬포토 사례에서 보듯 유출된 정보가 보이스피싱에 즉각 활용되는 만큼, 정보주체 보호 차원에서 신속한 유출 통지와 피해 지원 체계 마련이 요구된다.

개인정보위는 이번 처분을 통해 개인정보처리시스템 접속 권한의 IP 제한, 다중 인증수단 적용, 접속기록 보관·관리 등 기본 안전조치의 철저한 이행을 사업자들에게 거듭 촉구했다.


실무 연계 포인트

이번 처분에서 공통으로 지적된 위반 유형과 실무 점검 항목을 정리하면 다음과 같다.

  • 접근통제: 관리자 페이지·개인정보처리시스템에 대한 IP 접근 제한 적용 여부 확인
  • 인증수단 강화: 외부 접속 시 아이디·비밀번호 외 OTP, 인증서 등 추가 인증수단 도입
  • 취약점 관리: 공개된 보안 취약점(CVE) 주기적 점검 및 패치 적용 프로세스 수립
  • 접속기록 관리: 개인정보처리시스템 접속기록 최소 1년(고유식별정보·민감정보 처리 시 2년) 보관
  • 보유 기간 준수: 목적이 달성된 개인정보의 즉시 파기 절차 실질적 운영
  • 침해사고 대응: 이상 트래픽 탐지 및 개인정보 유출 시 72시간 이내 신고·통지 체계 점검
#개인정보보호위원회#과징금#접근통제#개인정보 유출#안전조치#락앤락
백남정
백남정 기자

공학박사 ·ISMS-P 선임심사원(30회) · CBPR 심사원· 숭실대 기업재난관리학과 석사 · 재해경감 인증심사원 · 개인정보보호 및 재해복구 전문 컨설턴트. LH공사 재해경감우수기업 인증심사 수행. 마이데이터 심사원(개인정보 지정기관 심사원)

개인정보보호뉴스 구독하기구글에서 팔로우

관련 기사

📌 함께 읽으면 좋은 기사