기본 보안조치 실패, 148만명 개인정보 유출…3개사 과징금 7억원 철퇴
--- 개인정보보호위원회가 락앤락·유베이스·썬포토 3개 사업자에 대해 총 7억 100만원의 과징금과 540만원의 과태료를 부과했다. IP 접근통제, 다중인증, 취약점 패치 등 기본적인 안전조치를 소홀히 해 해킹 공격에 무방비로 노출된 결과, 총 148만명의 개인정보가
https://privacynews.kr/s/d27f13개인정보보호위원회가 락앤락·유베이스·썬포토 3개 사업자에 대해 총 7억 100만원의 과징금과 540만원의 과태료를 부과했다. IP 접근통제, 다중인증, 취약점 패치 등 기본적인 안전조치를 소홀히 해 해킹 공격에 무방비로 노출된 결과, 총 148만명의 개인정보가 유출되는 대형 침해사고로 이어졌다.
사례별 상세 분석
락앤락: 130만명 유출, 과징금 최대 규모
생활용품 기업 락앤락은 이번 처분 대상 중 가장 많은 130만명의 개인정보를 유출했다. 개인정보위 조사 결과, 외부에서 내부 시스템으로 접근하는 IP에 대한 접근통제가 미흡했으며, 관리자 계정에 대한 다중인증(MFA)도 적용하지 않은 것으로 드러났다. 공격자는 이러한 허점을 이용해 고객 데이터베이스에 침투, 대규모 개인정보를 탈취했다.
유베이스: 소규모지만 책임은 동일
콜센터 운영업체 유베이스는 1,852명으로 유출 규모는 상대적으로 작았으나, 보안 취약점에 대한 패치를 적시에 수행하지 않아 해킹 경로를 제공한 점이 문제가 됐다. 개인정보위는 유출 규모와 관계없이 안전조치의무 위반 자체를 엄중히 판단했다.
썬포토: 17만명 유출, 웹 취약점 방치
사진 인화 서비스 업체 썬포토는 17만명의 개인정보가 유출됐다. 웹 애플리케이션의 알려진 취약점을 장기간 방치해 SQL 인젝션 등 기본적인 공격 기법에 노출된 것으로 파악됐다.
공통 패턴: '기본'의 부재
세 사업자의 침해사고에서 공통적으로 발견되는 패턴은 기술적·관리적 보호조치의 기본기 부재다.
| 위반 유형 | 관련 조항 | 위반 사업자 |
|---|---|---|
| IP 접근통제 미흡 | 개인정보보호법 제29조 | 락앤락 |
| 다중인증 미적용 | 안전조치 기준 고시 제6조 | 락앤락 |
| 보안 취약점 패치 지연 | 안전조치 기준 고시 제9조 | 유베이스, 썬포토 |
개인정보위는 "이번 사건들은 고도화된 해킹이 아닌, 이미 알려진 공격 기법에 당한 사례"라며 "기본적인 보안수칙만 준수했어도 충분히 예방 가능했다"고 지적했다.
기업 대응 방안
개인정보를 처리하는 기업은 다음 사항을 즉시 점검해야 한다.
- 접근통제 강화: 관리자 페이지 및 DB 서버에 대한 IP 화이트리스트 적용
- 다중인증 의무화: 개인정보처리시스템 접근 시 OTP·생체인증 등 추가 인증 도입
- 취약점 관리 체계화: 월 1회 이상 보안 패치 현황 점검, CVSS 7.0 이상 취약점 긴급 패치
- 침해사고 대응 훈련: 반기별 모의훈련을 통한 탐지·대응 역량 확보
>📚 CPPG·ISMS-P 시험 연계 포인트
>개인정보의 안전성 확보조치 기준 고시 제5조(접근권한의 관리), 제6조(접근통제)
- 개인정보처리시스템에 대한 접근권한은 업무 수행에 필요한 최소한의 범위로 차등 부여해야 한다.
- 정보통신망을 통한 불법 접근을 방지하기 위해 침입차단시스템, 침입탐지시스템을 설치·운영해야 하며, 안전한 인증수단을 적용해야 한다.
>- 개인정보취급자가 외부에서 개인정보처리시스템에 접속할 때는 가상사설망(VPN) 또는 전용선 등 안전한 접속수단을 적용해야 한다.
👉 이번 사례는 시험에서 '기술적 보호조치 위반 유형'으로 자주 출제되는 대표 사례다.
백남정 기자 privacywatch@example.com

![[진로 탐험] 중학교2학년 대표 | 염우진 ‘바이브 코더’, AI로 에듀테크 생태계를 혁신하다… WJedulab 대표의 실전 창업 스토리](https://jrwrbsncqyzmjnehprhl.supabase.co/storage/v1/object/public/pn-images/articles/1780466504673-hq35er.jpg)