락앤락, 개인정보 130만 명 유출…과징금 5억 300만 원

IT/과학

뉴스1,

2026년 7월 09일, 오후 05:12

송경희 개인정보보호위원회 위원장이 8일 오후 서울 종로구 세종대로 정부서울청사에서 열린 제13회 전체회의에서 모두 발언을 하고 있다. 2026.7.8 © 뉴스1 김명섭 기자

생활용품 기업 락앤락이 두 차례 해킹으로 회원 약 130만 명의 개인정보를 유출해 5억 원대 과징금 처분을 받았다. 2022년 공개된 보안 취약점을 업데이트하지 않고, 주요 서버 관리자 계정에 동일한 비밀번호를 적용하는 등 기본적인 안전조치를 소홀히 한 것으로 조사됐다.

개인정보보호위원회는 지난 8일 제13회 전체회의를 열고 개인정보 보호 법규를 위반한 락앤락, 유베이스, 썬포토 등 3개 사업자에 총 7억 100만 원의 과징금과 540만 원의 과태료를 부과하기로 의결했다고 9일 밝혔다. 이들 사업자에는 처분 사실을 홈페이지에 공표하라는 명령도 내려졌다.

개인정보위에 따르면 신원 미상의 해커는 2024년 4월 락앤락 메일 서버에 존재하는 취약점을 악용해 내부 시스템에 침입했다. 이후 같은 해 5월 29일부터 30일까지 회원 데이터베이스(DB)를 유출했고, 11월 22일부터 26일까지 내부 시스템에 재침입해 파일서버 내 업무자료 등을 빼냈다.

이 과정에서 이름, 휴대전화번호, 주소 등 회원 약 130만 명의 개인정보가 유출됐다. 주민등록증, 운전면허증, 통장 사본 등 임직원 개인정보 1111건도 함께 유출된 것으로 파악됐다.

조사 결과 락앤락은 유출 과정에서 발생한 비정상적인 대용량 트래픽을 탐지·대응하지 못했다. 해커의 협박메일을 받고서야 유출 사실을 인지한 것으로 확인됐다.

특히 락앤락은 1차 침해 이후에도 내부 시스템 재침입을 막지 못해, 단순 해킹 피해를 넘어 사후 탐지·차단 체계 부실까지 드러낸 사례로 지적된다.

개인정보위는 락앤락이 2022년 공개된 보안 취약점을 업데이트하지 않았고, 주요 서버 관리자 계정에 동일한 비밀번호를 사용했다고 봤다. 고유식별정보를 암호화하지 않은 점도 적발됐다. 임직원 개인정보와 폐점 매장 구매자 정보 등 총 4만 9466건을 파기하지 않은 사실도 확인됐다.

개인정보위는 락앤락에 과징금 5억 300만 원과 과태료 540만 원을 부과했다.

콜센터 아웃소싱 업체 유베이스도 제재를 받았다. 해커는 2024년 4월 유베이스 대표 홈페이지 관리자 계정으로 접속해 문의게시판 이용자 1852명의 이름, 전화번호, 이메일, 회사명 등을 유출하고 텔레그램에 게시했다.

유베이스는 외부에서 관리자 페이지 접속이 가능하도록 운영하면서도 접속 권한을 인터넷 프로토콜(IP) 주소 등으로 제한하지 않았다. 아이디와 비밀번호만으로 접속할 수 있도록 운영했고, 개인정보처리시스템 접속기록 보관·관리도 미흡했다. 개인정보위는 유베이스에 과징금 1억 6800만 원을 부과했다.

사진·영상장비 판매업체 썬포토는 해커가 웹사이트 관리자 계정으로 접속해 회원 약 17만 명의 개인정보와 주문정보 13건을 유출한 것으로 조사됐다. 주문자 1명에게는 썬포토 직원을 사칭한 보이스피싱 시도도 있었다.

썬포토 역시 관리자 페이지 접속 권한을 IP 주소 등으로 제한하지 않았고, 개인정보처리시스템 접속기록을 보관·관리하지 않았다. 개인정보위는 썬포토에 과징금 3000만 원을 부과했다.

kxmxs4104@news1.kr

추천 뉴스