CloudPNG

ºC

logo
IT/바이오

개인정보 1테라 유출 로고스, 5억 과징금…법무법인 보안경고장

김태훈 기자
입력

법률서비스까지 디지털화가 가속하는 가운데, 국내 중대형 법무법인의 대규모 소송문서 데이터 유출 사고가 개인정보 거버넌스의 취약성을 드러내고 있다. 사건 관리 시스템과 메일 서버 등 핵심 인프라가 통째로 뚫리면서 이름과 주민등록번호, 계좌번호, 범죄·건강 정보까지 포함된 방대한 데이터가 외부로 유출된 것으로 드러났다. 개인정보보호위원회는 이번 조치를 법률시장의 보안 수준을 재점검하는 분기점으로 보고, 디지털 전환 속 개인정보 보호 의무를 한층 강화하는 계기가 될 것으로 판단하고 있다.

 

개인정보보호위원회는 21일 개인정보보호법을 위반한 법무법인 로고스에 과징금 5억2300만 원과 과태료 600만 원을 부과하고, 시정명령과 공표명령을 의결했다고 밝혔다. 1테라바이트를 훌쩍 넘는 소송자료가 외부에 유출된 데다, 주민등록번호와 계좌번호 등 고위험 정보가 암호화 없이 저장돼 있었다는 점이 중대한 위반 사유로 작용했다.

조사 결과 해커는 2023년 로고스의 관리자 계정 정보를 탈취한 뒤 내부 인트라넷 시스템에 접속했다. 이후 사건 관리 리스트 웹페이지에서 의뢰인명, 소송상대자, 사건명, 사건번호 등이 포함된 사건 리스트 4만3892건을 내려받아 외부로 유출했다. 동시에 소송자료가 저장된 디렉터리에 접근해 약 1.59테라바이트 규모에 해당하는 소송 관련 문서 18만5047건을 추가로 다운로드한 사실이 확인됐다.

 

유출된 문서는 소장과 판결문, 진술조서, 증거서류, 금융거래내역서, 범죄일람표, 신분증, 진단서, 통장 사본 등 재판 과정 전반에 걸친 자료를 포괄한다. 이들 파일에는 이름, 연락처, 주소, 주민등록번호, 계좌번호, 범죄 정보, 건강에 관한 민감정보 등 고위험 개인정보가 대량 포함돼 있었다. 통상 의료정보나 범죄경력과 같은 민감정보는 유출 시 회복이 사실상 불가능하고 2차 피해 위험이 높아, 규제기관은 일반 개인정보보다 엄격한 보호 조치를 요구해 왔다.

 

공격자는 메일 서버 등 일부 시스템에는 랜섬웨어 악성코드도 삽입해 실행했다. 이로 인해 해당 서버는 정상적인 이용이 불가능한 상태가 되었고, 로고스는 메일 시스템과 관련 인프라를 새로 구축해야 했다. 이번 사건이 단순 정보 유출을 넘어 서비스 마비와 재구축 비용을 동반한 전형적인 랜섬웨어 침해사례라는 점에서, 법률업계의 사이버 리스크 관리 수준이 도마에 올랐다는 해석이 나온다.

 

개인정보위 조사에 따르면 로고스는 내부 시스템에 대한 접속 권한을 허용하는 과정에서 IP 주소 기반 제한 등 기본적인 접근통제 장치를 충분히 마련하지 않았다. 특히 외부에서 시스템에 접속할 때에도 다중인증이나 보안토큰 없이 아이디와 비밀번호만으로 접속이 가능하도록 운영한 정황이 드러났다. 웹페이지에 대한 취약점 점검과 보완 조치도 미흡해 공격 표면을 넓혀놓은 것으로 나타났다.

 

문서 저장 방식 역시 문제였다. 로고스는 주민등록번호, 계좌번호, 비밀번호 등의 중요 개인정보를 암호화 없이 평문으로 저장해 왔다. 개인정보보호법은 주민등록번호 등 특정식별정보에 대해 저장 시 암호화를 의무화하고 있으며, 금융정보·민감정보도 높은 수준의 기술적 보호조치를 요구한다. 그럼에도 로고스는 보유 중인 개인정보의 보유 기간이나 구체적인 파기 기준조차 마련하지 않은 것으로 확인돼, 수집 이후 전 생애주기에 걸친 보호체계 설계가 부재했다는 지적이 제기된다.

 

사고 대응 과정에서도 절차적 미비가 드러났다. 로고스는 2023년 9월경 개인정보 유출 가능성을 인지했음에도, 정당한 사유 없이 1년 이상 지난 시점에서야 정보주체에게 유출 사실을 통지했다. 개인정보위는 이로 인해 피해자가 비밀번호 변경, 계좌 모니터링 등 선제 조치를 취할 시간적 여유를 잃었고, 2차 피해 우려가 커졌다고 판단했다. 현행 법제는 유출 인지 후 지체 없이, 통상 수일 이내 통지를 요구하고 있어 이번 사안은 통지 의무 위반으로도 문제 됐다.

 

업계에서는 변호사·로펌이 다루는 정보 특성상, 일반 기업보다 더 높은 수준의 보안 아키텍처가 필요하다는 지적이 강해지고 있다. 소송문서는 개인·기업의 민감한 분쟁내역과 재무·의료·범죄 정보를 결합한 고부가가치 데이터로, 사이버 범죄자 입장에서는 협박과 2차 범죄에 매우 유리한 자산이기 때문이다. 특히 최근 법률시장에서도 클라우드 기반 사건관리 시스템, 이메일 아카이빙, 전자증거개시 등 디지털 전환이 빠르게 확산되고 있어, 로펌 IT 인프라가 공격 표적이 될 가능성이 커지고 있다.

 

글로벌 시장에서는 이미 법률서비스 부문을 포함한 전문직 서비스 기업을 겨냥한 랜섬웨어와 표적 공격이 증가하는 추세다. 북미·유럽의 일부 로펌은 민감사건을 담당하는 팀과 일반 부서를 분리해 네트워크를 이중화하고, 사건별로 암호화 컨테이너를 적용하는 등 강화된 보안 아키텍처를 도입하고 있다. 이에 비해 국내 법률업계는 전자소송·온라인 증거관리 도입에는 속도를 내면서도, 데이터 거버넌스와 보안투자 측면에서는 상대적으로 더딘 모습이라는 평가가 나온다.

 

이번 제재로 국내 로펌과 회계법인, 의료기관 등 민감정보를 대량 처리하는 전문서비스 조직 전반에 대한 보안 규제 압박이 커질 것이라는 관측도 제기된다. 개인정보위는 과징금과 과태료 외에 시정명령과 공표명령까지 병행하며 경고 수위를 높였다. 향후 유사 사건이 반복될 경우, 형사 고발이나 손해배상 소송으로까지 이어질 수 있다는 점에서, 업계 전반에 보안 인력 보강과 암호화, 다중인증, 침해 탐지체계 도입을 요구하는 압력으로 작용할 전망이다.

 

전문가들은 법률·헬스케어·금융처럼 정보 민감도가 높은 분야에서는 AI·클라우드 도입 이전에 데이터 보호 구조부터 재설계해야 한다고 지적한다. 특히 개인정보 수집 목적이 종료된 이후 자동 파기, 민감정보 최소 수집, 다계층 암호화 등 사전 설계가 없는 상태에서는 어떤 보안 솔루션을 추가해도 근본적인 위험을 줄이기 어렵다는 분석이다. 산업계는 이번 제재를 계기로 법무법인을 비롯한 전문서비스 업계가 개인정보 보호 체계를 얼마나 빠르게 정비할지 주시하고 있다.

김태훈 기자
share-band
밴드
URL복사
#개인정보보호위원회#법무법인로고스#랜섬웨어