기사 메일전송
소송자료 18만 건 해킹에 털려…로펌 로고스에 과징금 5억 원
  • 백지나 기자
  • 등록 2025-11-24 11:55:07
기사수정
  • 주민번호·범죄이력 등 민감정보 다수…접근통제 소홀·다크웹에 유출자료 게시
  • 로고스 "기본책무 못해 심려 끼쳐…작년 사건, 정보보호 체계 전면 재정비 완료"

▲ 송경희 개인정보보호위원회 위원장이 지난 20일 서울 종로구 정부서울청사에서 열린 2025년 제23회 개인정보보호위원회 전체회의에서 모두발언을 하고 있다. (사진=개인정보보호위원회 제공)


[e-뉴스 25=백지나 기자] 법무법인 로고스가 내부 전산시스템 관리를 소홀히 했다가 이름과 주민등록번호, 개인 범죄정보 등이 담긴 소송자료 18만건을 해킹당해 거액의 과징금을 물게 됐다.


해커에 털린 자료는 1.6테라바이트(TB) 규모로, 개인정보가 은밀하게 거래되는 다크웹 상에 게시되기도 했다.


개인정보보호위원회는 20일 연 전체회의에서 대규모 소송자료가 유출된 법무법인 로고스에 과징금 5억2천300만원과 과태료 600만원을 부과하기로 의결했다고 밝혔다.


개인정보위는 로고스가 내부 시스템에 보관·관리하던 소송자료가 다크웹에 게시된 사실을 확인하고, 조사에 착수했다.


개인정보위에 따르면 해커는 작년 7∼8월 아이디(ID)와 비밀번호 등 로고스의 관리자 계정정보를 빼낸 뒤 내부 인트라넷에 접속해 사건관리 리스트 4만3천892건을 내려받아 유출했다.


또 소송자료가 저장된 디렉터리에서는 소장, 판결문, 증거자료, 금융거래내역서, 신분증, 진단서 등 18만5천47건(약 1.59TB) 규모의 소송 관련 문서를 추가로 빼냈다.


문서에는 이름, 주소, 연락처, 주민등록번호, 계좌번호, 범죄 이력, 건강정보 등 민감한 개인정보가 대량 포함돼 있었다.


이렇게 유출된 소송자료는 모두 1.6테라바이트(TB·1천24기가바이트) 규모에 달했다.


해커는 작년 8∼9월 로고스의 메일서버 등에 랜섬웨어 악성코드를 심어 서버를 마비시키기도 했다. 로고스는 이로 인해 시스템을 재구축해야 했다.


조사 결과 로고스는 내부 시스템에 대한 접속권한을 IP 주소 등으로 제한하지 않는 등 접근·통제 조치를 소홀히 했다.


외부에서 시스템 접속 시 ID와 비밀번호만으로 접속이 가능하도록 운영했고, 웹페이지에 대한 취약점 점검·조치를 소홀히 한 것으로 밝혀졌다.


또한 주민번호, 계좌번호, 비밀번호 등을 암호화하지 않고 저장했으며 보관 중인 개인정보의 파기 기준도 마련하지 않았다.


로고스는 작년 9월 5일께 개인정보 유출 사실을 인지하고도, 정당한 사유 없이 1년 이상 지난 올해 9월 29일께야 개인정보 유출 통지를 한 것으로 확인됐다.


개인정보위는 로고스의 위반사항을 '매우 중대한 위반'으로 판단하고, 과징금 5억2천300만원과 과태료 600만원을 부과했다. 또 처분받은 사실을 운영 중인 홈페이지에 공표할 것을 명령했다.


유출사고 재발 방지를 위한 안전조치 강화, 주요 개인정보 암호화, 명확한 파기 지침 수립, 사고 대응 체계 정립 등 전반적인 개인정보 보호 및 관리 체계를 강화할 것을 시정명령했다.


로고스는 앞서 지난 5월 국내 통신업체의 유심 정보 해킹 사태가 불거졌을 때 수백명의 피해자를 모집해 손해배상을 청구하는 공동소송 대리에 나선 바 있다. 그랬던 로펌이 이번 발표로 직접 해킹 사태의 당사자가 되는 상황이 됐다.


로고스는 "고객의 정보를 철저히 보호해야 할 법무법인으로서 기본적인 책무를 다하지 못해 심려와 불편을 드린 점 사과드린다"는 입장을 밝혔다.


로고스는 이날 보도자료를 내고 "작년 사고와 이번 개인정보위 결정은 부족한 부분을 다시 한 번 뼈아프게 돌아보고 정보보안 시스템을 재정비하는 계기가 됐다"며 이같이 전했다.


아울러 "이번 사건은 지난해 8월말 내부 인트라넷 침입으로 발생한 사고로, 사고를 인지한 즉시 관련 서버를 차단하는 비상 조치를 단행했고 차단 직후 곧바로 경찰과 개인정보위 등에 신고해 조사에 임했다"며 "사고 재발을 막기 위해 지난 1년간 정밀 보안 컨설팅, 네트워크 장비 전면 교체, AI 기반의 차세대 위협 탐지 및 대응 솔루션 도입 등 전방위적인 보안 강화 조치를 실행했다"고 했다.


로고스는 "1년여간 뼈를 깎는 노력으로 정보보호 체계를 전면 재정비했으며, 그 결과 개인정보위의 시정 명령은 이미 이행된 상태"라고도 강조했다.


그러면서 "현재 내려진 시정명령은 이런 조치들이 철저히 유지되도록 하는 주의적 차원의 권고 사항으로 이해한다"며 "이미 완료된 보완 조치 내역을 성실히 보고할 예정"이라고 밝혔다.

TAG
0

프로필이미지

백지나 기자  

헤드라인
더보기
최신기사
더보기
대한민국 법원
국민 신문고
모바일 버전 바로가기