법무법인 로고스 홈페이지 캡처.

법무법인 로고스가 전산시스템 보안 소홀로 소송자료 18만건을 탈취당해 5억2900만원의 과징금·과태료를 물게 됐다. 유출된 소송자료엔 이름과 연락처, 주소, 주민등록번호뿐 아니라 범죄 정보, 건강 관련 민감 정보까지 포함돼 있었다.

개인정보보호위원회는 지난 20일 전체회의를 열고 지난해 1.6테라바이트(TB) 규모의 소송자료를 탈취당한 법무법인 로고스에 과징금 5억2300만원과 과태료 600만원을 부과하기로 의결했다고 21일 밝혔다. 이번 조사는 로고스의 전산 시스템에 보관 중이던 소송자료가 다크웹에 대량 게시되면서 이뤄졌다.

개인정보위 조사에 따르면, 해커는 지난해 7~8월 로고스의 관리자 아이디·비밀번호를 획득한 뒤 내부망에 접속해 약 4만4000여건의 사건관리 목록(의뢰인명, 소송상대자, 사건명, 사건번호 등)을 내려받았다. 이어 18만5047건(1.59TB 규모)의 소송자료 문서까지 내려받아 유출했다. 유출된 소송자료에는 소장, 판결문, 진술조서, 증거서류, 금융거래내역서, 범죄일람표, 신분증, 진단서, 통장사본 등이 포함돼 있었다.

해커는 또 지난해 8~9월에는 메일서버 등에 랜섬웨어 악성코드를 심어 서버를 마비시켰고, 로고스는 관련 시스템을 새로 구축해야 했다.

로고스는 정보유출 사실을 지난해 9월 파악하고도 별다른 사유 없이 1년이 지난 올해 9월에서야 해당 고객에게 유출 통지를 한 것으로 나타났다.

로고스는 지난 5월 SK텔레콤 유심 해킹 사건 당시 피해자들을 모집해 집단소송을 벌였던 로펌 중 하나다. 고객의 민감정보를 대량 탈취당한 로펌이 유심해킹 피해자들을 대리하겠다고 나섰던 것이다.

소송정보 대량 탈취는 로고스의 허술한 보안 탓이 컸다. 조사에 따르면 로고스는 내부 시스템에 대한 접속 권한을 IP 주소 등으로 제한하지 않는 등 접근·통제 조치를 소홀히 했다. 다른 인증수단 없이 아이디와 비밀번호만으로 외부인의 내부 시스템 접속이 가능했고, 웹페이지 취약점 점검·조치도 제대로 이뤄지지 않았다.

또한 주민번호·계좌번호·비밀번호를 암호화하지 않고 저장했으며, 보관 중인 개인정보의 보유기간이나 구체적인 파기 기준조차 마련하지 않고 있었다.

개인정보위는 로고스의 개인정보보호법 위반 사항을 “매우 중대한 위반으로 판단했다”고 밝혔다.

개인정보위는 “로고스는 소송 대리를 위해 민감한 개인정보를 대량으로 보관·관리하는 법률 서비스 제공자로서, 엄격한 개인정보 보호 체계를 갖추고 관련 법령을 준수해야 했다”면서 “그럼에도 다수의 의무를 위반해 대규모 개인정보 유출이 이뤄졌다”고 설명했다.

개인정보위는 5억2900만원의 과태료·과징금 부과 외에도 처분 사실의 홈페이지 공표 명령, 개인정보 보호·관리 체계 개선 시정명령을 함께 내렸다.

로고스 관계자는 이날 “기본적 책무를 다하지 못해 불편을 드린 점 사과드린다”면서도 정보 유출 1년이 지난 뒤에야 해당 고객에게 공지한 이유에 대해서는 “법률 검토가 필요한 사항이라 말하기 곤란하다”며 답하지 않았다.