개인정보위, 소송자료 유출한 법무법인 '로고스' 제재

-민감한 개인정보가 포함된 소송자료 약 1.6TB 규모 유출로 과징금 5억 2,300만 원 부과

- "유출사고 재발 방지를 위한 안전조치 강화, 주요 개인정보 암호화 조치, 명확한 파기 지침 수립·운영 및 사고 대응체계 정립" 시정명령 병행

- 특별한 유형의 개인정보를 다량 보유·관리하는 처리자의 경우 "위험 기반 강화된 보호조치" 필수

  개인정보보호위원회(위원장 송경희, 이하 '개인정보위')는 11월 20일(목) 제23회 전체회의를 열고, 개인정보 보호 법규를 위반한 법무법인(유) 로고스(이하 '로고스')에 대해 5억 2,300만 원의 과징금과 600만 원의 과태료를 부과하고, 시정명령 및 공표명령하기로 의결하였다.

  이번 사건은 로고스가 내부 시스템에 보관 ·관리 중이던 소송자료*가 다크웹에 게시됨에 따라 조사가 이루어진 사안으로, 구체적인 위반 내용과 처분 결과는 다음과 같다.

 * 해당 소송자료에는 의뢰인을 비롯한 다수의 고유식별정보, 민감정보 등 개인정보가 포함

< 유출 경위 및 내용 >

  해커는 '24. 7.~8. 로고스의 관리자 계정정보(아이디, 비밀번호)를 획득한 뒤, 내부 인트라넷 시스템에 접속하여, '사건 관리 리스트 웹페이지'에서 43,892건의 사건관리 리스트(의뢰인명, 소송상대자, 사건명, 사건번호 등)를 내려받아 유출하였다. 

  이어서, 소송자료가 저장된 디렉토리에서는 185,047건(약 1.59TB 규모)의 소송관련 문서를 내려받아 유출하였다. 해당 문서는 소장, 판결문, 진술조서, 증거서류, 금융거래내역서, 범죄일람표, 신분증, 진단서, 통장 사본 등으로, 문서에는 이름, 연락처, 주소, 주민등록번호, 계좌번호, 범죄 정보, 건강에 관한 민감정보 등의 개인정보가 다수 포함되어 있었다. 

  더불어, 해커는 '24.8.~9. 로고스의 메일서버 등을 대상으로 랜섬웨어 악성코드를 삽입·실행, 해당 서버 이용이 불가능해져 로고스는 관련 시스템을 새로 구축한 사실이 있다. 

< 개인정보 보호법 위반 사항 >

  조사 결과, 로고스는 내부 시스템에 대한 접속권한을 IP 주소 등으로 제한하지 않는 등, 개인정보 유출시도를 탐지·대응하기 위한 접근 통제 조치를 소홀히 하였다. 외부에서 시스템 접속 시 안전한 인증수단 없이 아이디와 비밀번호만으로 접속이 가능하도록 운영했고, 웹페이지에 대한 취약점 점검·조치를 소홀히 하였던 것으로 밝혀졌다.

  또한, 주민등록번호, 계좌번호, 비밀번호 등을 암호화하지 않고 저장하였으며, 보관 중인 개인정보의 보유기간이나 구체적인 파기 기준도 마련하지 않은 사실을 확인하였다. 

  아울러, '24. 9. 5.경 개인정보 유출 사실을 인지했음에도 정당한 사유 없이 1년 이상 경과한 '25. 9. 29.경에서야 개인정보 유출 통지를 하여 2차 피해 우려를 키운 사실도 확인되었다.  

< 처분 결과 및 의의 >

  이에 개인정보위는 로고스의 위반사항을 매우 중대한 위반으로 판단하고, 과징금 5억 2,300만 원과 과태료 600만 원을 부과하고, 위반사항에 대한 시정명령 및 처분받은 사실을 운영 중인 홈페이지에 공표할 것을 명령하였다. 

  또한, 개인정보위는 로고스가 소송대리를 위해 민감한 개인정보를 대량으로 보관·관리하는 법률 서비스 제공자로서, 보다 엄격한 개인정보 보호 및 관리 체계를 갖추고, 관련 법령을 준수하여야 함에도, 다수의 안전조치의무를 위반하여 대규모의 개인정보 유출로 이어진 점을 지적했다. 아울러, 유출사고 재발 방지를 위한 안전조치 강화, 주요 개인정보 암호화 및 명확한 파기 지침 수립, 사고 대응 체계 정립 등 전반적인 개인정보 보호 및 관리 체계를 강화할 것을 시정명령하였다. 

  개인정보위는 이처럼 특별한 유형의 개인정보를 다량으로 보유·관리하는 처리자의 경우, (1)보다 강력한 접근통제(IP 제한, 다중인증, 로그 기반 이상 탐지·대처 등)와 엄격한 접근권한 관리(권한 차등화, 취급자 계정 관리 철저) (2)주요 정보에 대한 암호화 및 비식별조치 확대, (3)구체화, 표준화된 파기(완전삭제) 절차의 운영 및 (4)내부 인력에 대한 지속적 교육과 관리·감독 등 "위험 기반(risk-based) 강화된 보호조치*"가 지속적으로 요구된다고 설명했다.  

 * 개인정보처리자의 업무 특성이나 개인정보의 민감도·위험성 등을 평가하여 위험성에 따라 보호조치 수준을 달리하는 개인정보 보호 체계에 따른 강화된 보호조치

* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

- 담당자 : 조사2과 채리(02-2100-3159)

“이 자료는 개인정보보호위원회의 보도자료를 전재하여 제공함을 알려드립니다.”