속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
침해사고AI 초안

락앤락·유베이스·썬포토, 기본 보안 미흡으로 148만명 정보 유출…과징금 7억원

--- 개인정보보호위원회가 기초적인 보안조치조차 갖추지 않은 3개 기업에 총 7억 640만원의 제재를 부과했다. 락앤락 130만명, 썬포토 17만명, 유베이스 1,852명 등 총 148만여 명의 개인정보가 '이미 알려진 공격 기법'에 무방비로 노출된 것으로 드러났다.

백남정 기자
입력 2026년 7월 10일
단축URLhttps://privacynews.kr/s/a393b3

개인정보보호위원회가 기초적인 보안조치조차 갖추지 않은 3개 기업에 총 7억 640만원의 제재를 부과했다. 락앤락 130만명, 썬포토 17만명, 유베이스 1,852명 등 총 148만여 명의 개인정보가 '이미 알려진 공격 기법'에 무방비로 노출된 것으로 드러났다.


사례별 분석

락앤락: 130만명 유출, 최대 규모 피해

생활용품 기업 락앤락은 이번 제재 대상 중 가장 많은 130만명의 개인정보를 유출했다. 개인정보위 조사 결과, 외부에서 내부 시스템으로 접근하는 IP에 대한 접근통제가 사실상 부재했던 것으로 확인됐다. 공격자는 별다른 기술적 장벽 없이 고객 데이터베이스에 침투할 수 있었다.

썬포토: 보안패치 미적용이 화근

사진 인화 서비스 업체 썬포토는 17만명의 고객 정보를 유출했다. 해당 기업은 이미 보안 취약점이 공개되고 패치가 배포된 소프트웨어를 업데이트하지 않은 채 운영해왔다. 공격자는 공개된 취약점 정보를 활용해 손쉽게 시스템에 침입했다.

유베이스: 다중인증 부재로 관리자 계정 탈취

콜센터 운영업체 유베이스는 피해 규모는 1,852명으로 상대적으로 적었으나, 관리자 계정에 다중인증(MFA)을 적용하지 않아 계정 탈취 공격에 노출됐다. 단일 비밀번호만으로 핵심 시스템 접근이 가능했던 점이 치명적 취약점으로 작용했다.


공통 패턴: "새로운 공격 아닌, 방어 실패"

세 기업의 침해사고에서 드러난 공통점은 명확하다. 모두 '이미 알려진 공격 기법'에 당했다는 것이다.

첫째, IP 접근통제 미흡이다. 외부 접속에 대한 화이트리스트 관리나 VPN 적용 없이 시스템을 운영했다. 둘째, 다중인증 미적용이다. 관리자 계정조차 ID와 비밀번호만으로 접근 가능하게 방치했다. 셋째, 보안패치 지연이다. 제조사가 배포한 보안 업데이트를 수개월 이상 적용하지 않았다.

개인정보위 관계자는 "고도화된 해킹이 아닌 기본적인 보안 수칙 미준수로 인한 사고"라며 "기업 규모와 관계없이 안전조치 의무는 동일하게 적용된다"고 강조했다.


기업·기관 대응 방안

1. 접근통제 체계 재점검 - 관리자 페이지·DB 서버에 대한 IP 화이트리스트 적용 - 원격 접속 시 VPN 필수화

2. 다중인증 의무화 - 관리자 계정 전체 MFA 적용 - 일반 사용자 계정도 단계적 확대 검토

3. 보안패치 관리 프로세스 수립 - 월 1회 이상 보안 업데이트 현황 점검 - 긴급 패치 발생 시 72시간 내 적용 원칙

4. 정기 취약점 점검 - 분기별 모의해킹 또는 취약점 스캔 실시 - 발견 취약점에 대한 이행점검 체계 마련


📚 CPPG·ISMS-P 시험 연계 포인트

>

개인정보보호법 제29조(안전조치의무)와 동법 시행령 제30조

>

개인정보처리자는 개인정보가 분실·도난·유출·변조·훼손되지 않도록 접근 권한 관리, 접근통제시스템 설치, 암호화, 보안프로그램 설치 및 갱신 등 기술적·관리적 보호조치를 취해야 한다. 이번 사례는 시행령 제30조 제1항 제3호(접근통제), 제5호(보안프로그램 설치 및 갱신)의 전형적인 위반 사례로, 시험에서 '안전조치 기준' 세부 항목과 위반 시 제재 수준을 묻는 문제로 출제 가능성이 높다.


백남정 개인정보보호 전문기자

#침해사고#개인정보보호#유출사고
백남정 기자

개인정보보호 전문 미디어 PrivacyNews 기고

개인정보보호뉴스 구독하기구글에서 팔로우

관련 기사

📌 함께 읽으면 좋은 기사