2026년 07월 10일(금)

락앤락, 회원 130만 명 개인정보 유출... 과징금 5억 원 제재

플라스틱 밀폐용기 제조업체 락앤락이 130만 명 규모의 개인정보 유출 사고로 과징금 5억300만 원과 과태료 540만 원의 제재를 받았다. 


지난 8일 개인정보보호위원회는 제13회 전체회의를 열고 개인정보보호법 위반 혐의로 락앤락에 과징금 5억300만원, 과태료 540만원을 부과하기로 결정했다.


조사 결과, 해커는 지난 2024년 4월 메일 서버의 보안 취약점을 이용해 락앤락 내부 시스템에 침입했다.


락앤락


이어 같은 해 5월엔 회원 데이터베이스(DB)를 전부 빼냈다. 해커는 같은 해 11월에도 다시 한번 내부 시스템에 접근해 업무 관련 자료를 추가로 유출한 것으로 드러났다. 


이로 인해 약 130만명의 이름·휴대전화번호·주소 등 개인정보와 함께 임직원의 주민등록증·운전면허증·통장 사본 등 1111건의 정보가 유출됐다.


락앤락은 대량의 데이터가 외부로 빠져나가는 동안 이를 전혀 감지하지 못했다. 개인정보위는 락앤락이 해커로부터 협박 메일을 받고서야 유출 사실을 인지했다고 확인했다.


또 2022년에 공개된 보안 취약점에 대한 보안 패치를 적용하지 않았고, 주요 서버를 관리자 계정에 동일한 비밀번호를 사용했다. 고유식별정보에 대한 암호화 조치도 이뤄지지 않았다. 이미 문을 닫은 매장의 구매자 정보 4만9466건을 삭제하지 않고 계속 보관한 사실도 드러났다.


개인정보위는 락앤락에 과징금과 과태료를 부과하고, 이번 처분 사실을 운영 중인 홈페이지에 공개하도록 명령했다.


송경희 개인정보보호위원회 위원장이 7일 오후 서울 종로구 세종대로 정부서울청사에서 열린 제3기 가명정보 전문가 풀 위촉식 및 간담회에서 모두 발언을 하고 있다. 2026.7.7/뉴스1


한편 개인정보위는 이날 시스템 접근 통제 등 안전조치 미비로 유출 사고를 낸 유베이스와 썬포토에도 과징금을 부과했다.


기업 대상 콜센터 아웃소싱 서비스 업체인 유베이스에는 과징금 1억6800만원이 부과됐다. 공격자는 2024년 4월 유베이스 대표 홈페이지 관리자 계정에 접속해 문의게시판 이용자 1852명의 이름·전화번호·이메일·회사명 등을 빼내 텔레그램에 올렸다.


개인정보위는 유베이스가 관리자 페이지를 외부에서 접속할 수 있게 운영하면서도 인터넷 프로토콜(IP) 주소 등으로 접속 권한을 제한하지 않았다고 지적했다. 아이디와 비밀번호만으로 접속이 가능하도록 운영했고, 개인정보처리시스템 접속기록 보관과 관리도 제대로 이뤄지지 않았다고 판단했다.


사진·영상장비 판매업체 썬포토에는 과징금 3000만원이 부과됐다. 공격자는 2024년 8월 썬포토 웹사이트 관리자 계정으로 접속해 회원 약 17만명의 이름·아이디·휴대전화번호·성별 등과 주문정보 13건을 유출했다. 주문자 1명에게 썬포토 직원을 가장한 보이스피싱을 시도한 정황도 드러났다.


썬포토 역시 웹사이트 관리자 페이지 접속 권한을 IP 주소 등으로 제한하지 않았고, 개인정보처리시스템 접속기록을 보관하거나 관리하지 않은 것으로 밝혀졌다.


기사의 이해를 돕기 위한 자료사진 / gettyimagesBank


최근 발생하는 개인정보 유출 사고는 정교한 해킹 기술뿐만 아니라 기초적인 보안조치 미흡에서 비롯되는 사례가 많다. 관리자 페이지를 외부에 개방하면서 IP 제한이나 다단계 인증을 적용하지 않거나 오래된 보안 취약점을 방치할 경우, 공격자가 비교적 손쉽게 개인정보처리시스템에 접근할 수 있다.


개인정보위는 개인정보처리자가 개인정보처리시스템 접속 권한을 IP 주소 등으로 제한해야 한다고 강조했다. 외부 접속이 필요한 경우에는 아이디와 비밀번호 외에 추가 인증 수단을 반드시 적용해야 한다고 당부했다.