개인정보위, 다크웹에 소송 자료 털린 법무법인 로고스에 과징금 5억원 부과

과태료 600만원도 부과…시정·공표 명령
“법률 서비스 제공자가 안전조치 의무 위반”

법무법인 로고스가 해킹으로 다크웹에 의뢰인 개인정보 등 소송 자료가 유출돼 과징금 5억2300만원에 과태료 600만원을 물게 됐다.

개인정보보호위원회는 20일 전체 회의에서 개인정보 보호법을 위반한 로고스에 시정 명령 및 공표 명령과 함께 이같이 의결했다고 21일 밝혔다.

지난해 7~8월 해커가 로고스의 관리자 계정 아이디와 비밀번호를 획득한 뒤 내부 인트라넷 시스템의 사건 관리 리스트 웹페이지에서 의뢰인 이름, 소송 상대자, 사건명, 사건 번호 등 4만3892건, 소송 자료가 저장된 디렉토리에선 소송 관련 문서 18만5047건을 내려받아 유출했다. 소송 관련 문서는 금융거래 내역서, 범죄 일람표, 소장, 신분증, 판결문, 증거 서류, 진단서, 진술 조서, 통장 사본 등 다양한데, 이름과 연락처, 주민등록번호, 주소 같은 개인정보가 다수 포함됐다.

해커는 지난해 8~9월 로고스의 메일 서버 등에 랜섬웨어 악성 코드를 삽입하고 실행해 서버 이용을 불가능하게 만들었다. 이에 로고스는 관련 시스템을 새로 구축해야 했다.

개인정보위 조사 결과, 로고스는 내부 시스템 접속 권한을 IP(인터넷 식별 번호) 주소 등으로 제한하지 않은 것으로 확인됐다. 외부에서 안전한 인증 수단 없이 아이디와 비밀번호만으로 시스템 접속이 가능하게 한 것. 웹페이지 취약점 점검 및 조치도 소홀히 한 것으로 조사됐다. 주민등록번호, 계좌번호, 비밀번호 등을 암호화하지 않고 저장했다. 보관 중인 개인정보의 보유기간이나 파기 기준도 마련하지 않았다. 아울러 로고스는 지난해 9월5일쯤 개인정보 유출 사실을 인지하고도 올해 9월29일쯤 개인정보 유출 통지를 했다.

개인정보위는 “로고스가 소송대리를 위해 민감한 개인정보를 대량으로 보관·관리하는 법률 서비스 제공자로서, 보다 엄격한 개인정보 보호·관리 체계를 갖추고 관련 법령을 준수해야 함에도 다수의 안전조치 의무를 위반해 대규모 개인정보 유출로 이어졌다”고 질타하면서 재발 방지를 위한 안전조치 강화와 사고 대응 체계 정립, 주요 정보 암호화, 소송 자료에 대한 명확한 파기 지침 수립·운영을 명령했다.