투데이e코노믹 = 우혜정 기자 | 법무법인 로고스가 전산 보안 관리 부실로 약 1.6테라바이트(TB)에 달하는 소송자료를 해커에게 탈취당한 사실이 드러나면서, 개인정보보호위원회로부터 총 5억2900만원의 제재 처분을 받았다. 유출된 문서에는 이름·주민등록번호·계좌번호부터 범죄 이력·건강정보 등 고위험 민감정보까지 포함돼 다크웹에 대거 게시된 것으로 확인됐다.

개인정보보호위원회는 지난 20일 열린 전체회의에서 로고스에 과징금 5억2300만원과 과태료 600만원을 부과하고, 재발 방지를 위한 시정명령과 공표 명령을 내렸다고 21일 밝혔다. 조사는 지난해 로고스 내부 시스템에서 보관하던 소송자료가 해커에게 탈취돼 다크웹에 공개된 사실이 확인되면서 시작됐다.

조사 결과, 해커는 지난해 7~8월 로고스 관리자 계정의 아이디(ID)와 비밀번호를 탈취해 내부망에 침입한 뒤 사건관리 리스트 4만여 건을 먼저 내려받았다. 이어 소장·판결문·진술조서·증거자료·금융거래내역서·범죄일람표·신분증·진단서 등 18만5047건(약 1.59TB)의 소송 관련 문서를 추가로 유출했다.

이 문서에는 이름, 연락처, 주소, 주민등록번호, 계좌번호 등 기본 개인정보는 물론 범죄이력과 건강정보 등 민감정보가 대량 포함됐다.

유출 사실 알고도 법적 통지 의무 무시

해커는 같은 시기 로고스의 메일서버에 랜섬웨어를 심어 서버를 마비시키기도 했다. 로고스는 결국 주요 시스템을 새로 구축해야 했다.

그러나 로고스는 이 같은 대규모 유출 사실을 지난해 9월 인지하고도, 법적 통지 의무를 무시한 채 1년 넘게 이를 숨기고 있다가 올해 9월에서야 피해 고객에게 뒤늦게 통보했다.

개인정보위 조사에서는 로고스의 보안 관리가 구조적으로 허술했다는 점도 확인됐다.

내부 시스템 접속을 IP 등으로 제한하지 않았고 외부 접속 시 다중 인증 없이 ID·비밀번호만으로 접근 가능했다. 웹 취약점 점검 및 보안 조치를 제대로 수행하지 않았으며 주민등록번호·계좌번호·비밀번호 등은 암호화조차 하지 않은 채 저장돼 있었다. 또 개인정보 보유기간 및 파기 기준도 마련돼 있지 않았다.

개인정보위는 “민감한 개인정보를 대량으로 다루는 법률 서비스 제공자로서 로고스는 엄격한 보안체계를 갖추고 법령을 준수했어야 했으나, 여러 의무를 위반해 대규모 유출을 초래했다”며 “매우 중대한 위반으로 판단한다”고 밝혔다.

로고스는 “기본적 책무를 다하지 못해 불편을 드린 점 사과드린다”고 했지만, 1년 넘는 통지 지연 이유에 대해서는 “법률 검토가 필요한 사안이라 답변하기 어렵다”고 밝혔다.

로고스는 지난 5월 SK텔레콤의 유심 정보 유출 사건 당시 수백 명의 피해자를 모집해 ‘통신사 정보유출 피해 집단소송’을 대리했던 로펌 중 하나다.