락앤락, 집주소 등 130만명 개인정보 유출... 5억300만원 과징금 작성일 07-09 9 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="3av1YwFYDO"> <p contents-hash="6c7a2b2243c365bbc6b0c90fe05ced4e3cc91d3554c7fca6d827b58a917d8619" dmcf-pid="0kGp5Iu5Os" dmcf-ptype="general"><strong>공개 취약점 미조치 및 구매자 정보 미파기<br>유베이스 및 썬포토에도 과징금 부과</strong></p> <p contents-hash="cde7a4756ab0ac5315afabdc55854229560687ec1cddbe54e97c23c9da355ce8" dmcf-pid="pEHU1C71Dm" dmcf-ptype="general">[보안뉴스 강현주 기자] 락앤락이 집주소를 포함한 130만명의 개인정보 유출 및 구매자 정보 미파기 등으로 5억300만원의 과징금을 부과받았다. 유베이스, 썬포토도 개인정보보호법 위반으로 과징금을 부과받았다. </p> <p contents-hash="37d174a36bc122d53b981cb113f401385ba4692c629f6ef58056ef79db75123b" dmcf-pid="UDXuthztDr" dmcf-ptype="general">개인정보보호위원회(위원장 송경희)는 8일 제13회 전체회의를 열고, 개인정보 보호 법규를 위반한 3개 사업자에 대해 총 7억 100만 원의 과징금 및 540만 원의 과태료를 부과하고, 해당 사업자 홈페이지에 결과를 공표할 것을 의결했다.</p> <figure class="figure_frm origin_fig" contents-hash="a45d5b320290981efd007e2a1f0dd52cf55a9a26342d87b1c61b3f79d31077ba" dmcf-pid="uwZ7FlqFrw" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202607/09/552815-KkymUii/20260709112555695zcby.jpg" data-org-width="486" dmcf-mid="Fv4JQ7nQrI" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202607/09/552815-KkymUii/20260709112555695zcby.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> [출처: 락앤락 홈페이지] </figcaption> </figure> <div contents-hash="76d359011488fc562a014616f625828e46a3b9fdd6c6da3fe9d9d8ea8a2d49b5" dmcf-pid="7r5z3SB3DD" dmcf-ptype="general"> <br>이들 사업자는 모두 개인정보처리시스템에 대한 접근통제 등 안전조치를 소홀히 하여 개인정보가 유출됐다. </div> <p contents-hash="2a504dd59e01980709decabc5ffdd5945f2c979f054b9535d9306a1c956e198e" dmcf-pid="zm1q0vb0OE" dmcf-ptype="general">락앤락은 과징금 5억300만원과 과태료 540만원 부과 및 공표명령을 받았다. </p> <p contents-hash="746766d2b069875df2aabedf0cb1afbcdb2f4ce65d69bff53803e4d58ebb5598" dmcf-pid="qstBpTKpDk" dmcf-ptype="general">신원 미상의 공격자는 2024년 4월 메일 서버에 존재하는 취약점을 악용해 내부 시스템에 침입하여 회원 데이터베이스(DB)를 유출(1차, 2024.5.29.~2024.5.30.)했고, 이후 2024년 11월 내부 시스템에 재침입해 파일서버 내 업무자료 등을 유출(2차, 2024.11.22.~2024.11.26.)해 약 130만명의 개인정보(이름, 휴대전화번호, 주소 등) 및 임직원의 개인정보(주민등록증, 운전면허증, 통장 사본 등) 1111건을 유출했다.</p> <p contents-hash="4dddcc6c7d98e33c907998dcd69c5d5a0f8e40a7029d25ad64d5588118609a70" dmcf-pid="BOFbUy9UEc" dmcf-ptype="general">락앤락은 유출 과정에서 발생한 비정상적인 대용량 트래픽을 탐지·대응하지 못해 해커의 협박메일 수신시까지 유출사실을 인지하지 못한 것으로 확인됐다. 또 2022년 공개된 보안 취약점을 업데이트 하지 않았으며, 주요 서버 관리자 계정에 동일한 비밀번호를 적용했고, 고유식별정보를 암호화하지 않는 등 안전조치 의무를 다수 위반했다. </p> <p contents-hash="f551e9d661fc169435e72779b86513e7248d056a23f7bcd20eb27dbdc2679044" dmcf-pid="bI3KuW2uIA" dmcf-ptype="general">락앤락은 임직원 개인정보 및 폐점 매장 구매자 정보(총 4만9466건)를 파기하지 않은 사실도 확인했다.</p> <p contents-hash="780cb50291cac28a9e22544b2c86bfc699381c7bdb11c6517590c45d1fd7da09" dmcf-pid="KstBpTKpDj" dmcf-ptype="general">유베이스는 과징금 1억6800만원 부과 및 공표명령을 받았다. </p> <p contents-hash="006ad311f91db728fbc840e106478c753495bfe3a651bbe7d509f01f8919ba1c" dmcf-pid="9OFbUy9UDN" dmcf-ptype="general">공격자는 2024년 4월 유베이스가 운영하는 대표 홈페이지 관리자 계정으로 접속, 문의게시판 이용자 1852명의 개인정보(이름, 전화번호, 이메일, 회사명)를 유출하고 텔레그램에 게시했다.</p> <p contents-hash="f80db0a44f5beb07aefbcd25dbc613350c4bdc2d46a8bc1d24d0df89dd13e5b8" dmcf-pid="2I3KuW2uma" dmcf-ptype="general">조사 결과, 유베이스는 외부에서 관리자 페이지 접속이 가능하도록 운영하면서 접속 권한을 인터넷 프로토콜(IP) 주소 등으로 제한하지 않았다. 또안전한 인증수단 없이 아이디·비밀번호 만으로 접속이 가능하도록 운영하고, 개인정보처리시스템의 접속기록 보관·관리도 미흡했다.</p> <p contents-hash="e79ee03c7bfbd7b9842573fab0d08f647b56cc97e4e6f783a7940a17019fad55" dmcf-pid="VC097YV7rg" dmcf-ptype="general">썬포토는 과징금 3000만원 부과 및 공표명령을 받았다. </p> <p contents-hash="9d444e80a3a8a5bce8f19ad52b0c740c7b5d9caf5a9a9fba82e37178b170ec69" dmcf-pid="fhp2zGfzIo" dmcf-ptype="general">공격자는 2024년 8월 썬포토㈜가 운영하는 웹사이트의 관리자 계정으로 접속해 회원 약 17만 명의 개인정보(이름, 아이디, 휴대전화번호, 성별 등) 및 주문정보(13건)를 유출했다. 주문자 1인에게 썬포토 직원을 사칭한 보이스피싱을 시도한 것으로 확인됐다.</p> <p contents-hash="8484be140e315732640f3df8120f831987cac6e611230ba675ac53888aec176c" dmcf-pid="4lUVqH4qOL" dmcf-ptype="general">썬포토는 웹사이트 관리자 페이지에 대한 접속 권한을 인터넷 프로토콜(IP) 주소 등으로 제한하지 않았고, 개인정보처리시스템에 대한 접속기록을 보관·관리하지 않는 등 안전성 확보조치 의무를 위반한 사실이 확인됐다.</p> <p contents-hash="ba0f3a08d4ae88d84241ee51077b04c6e5ace99af0a5b326dfd8cfc9ccd6072b" dmcf-pid="8SufBX8Bsn" dmcf-ptype="general">개인정보위 관계자는 “최근 개인정보처리시스템에 대한 접근통제 미흡, 안전한 인증수단 미적용 등 기본적인 안전조치 소홀로 개인정보가 유출되는 사고가 지속적으로 발생하고 있다”며 “이를 예방하기 위해 개인정보처리자는 개인정보처리시스템에 대한 접속 권한을 인터넷 프로토콜(IP) 주소 등으로 제한해야 하며, 특히 외부에서 접속이 필요한 경우에는 아이디, 비밀번호 외 추가 인증 수단을 적용해야할 것”이라고 말헸다.</p> </section> </div> <p class="" data-translation="true">Copyright © 보안뉴스. 무단전재 및 재배포 금지.</p> 관련자료 이전 “홍합·달팽이·소라까지”…심해 생물 92% ‘미세플라스틱’ 검출 충격 07-09 다음 '음바페 vs 메시 vs 홀란'...북중미 월드컵 8강 개막, 프랑스 우승? 07-09 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.