개인정보보호위원회(개인정보위)가 락앤락(밀폐용기 등 플라스틱 제품 제조), 유베이스(기업 대상 콜센터 아웃소싱 서비스 제공),썬포토(사진·영상장비 판매) 3사에게 총 7억 100만 원의 과징금과 540만 원의 과태료를 부과했다.
구체적으로, 락앤락에는 과징금 5억 300만 원에 과태료 540만 원 및 공표명령을, 유베이스에는 과징금 1억 6800만 원과 공표명령을, 썬포토에는 과징금 3000만 원과 공표명령을 각각 내렸다.
개인정보위는 8일 제13회 전체회의를 열고, 개인정보 보호 법규를 위반한 이들 3개 사업자에게 이 같은 결정을 했다.
■ 락앤락: 과징금 5억 300만 원, 과태료 540만 원 부과 및 공표명령
신원 미상의 해커가 2024년 4월 메일 서버에 존재하는 취약점을 악용해 이 회사 내부 시스템에 침입해 회원 데이터베이스(DB)를 유출(1차, 2024.5.29.~2024.5.30.)했다. 이후 2024년 11월 내부 시스템에 재침입해 파일서버 내 업무자료 등을 유출(2차, 2024.11.22.~2024.11.26.)하는 사고가 일어났다. 두 차례에 걸쳐 약 130만 명의 개인정보(이름, 휴대전화번호, 주소 등) 및 임직원의 개인정보(주민등록증, 운전면허증, 통장 사본 등) 1111건이 유출됐다.
조사 결과, 락앤락은 유출 과정에서 발생한 비정상적인 대용량 트래픽을 탐지 및 대응하지 못해 해커의 협박메일 수신시까지 유출사실을 인지하지 못했다. 또 2022년 공개된 보안 취약점을 업데이트 하지 않았고, 주요 서버 관리자 계정에 동일한 비밀번호를 적용했고, 고유식별정보를 암호화하지 않는 등 안전조치 의무를 다수 위반했다. 임직원 개인정보 및 폐점 매장 구매자 정보(총 4만9466건)를 파기하지 않은 사실도 개보위는 확인했다.
이에, 개보위는 락앤락에 과징금 5억 300만 원, 과태료 540만 원을 부과하고, 처분받은 사실을 운영 중인 홈페이지에 공표할 것을 명령했다.
■ 유베이스: 과징금 1억 6,800만 원 부과 및 공표명령
해커가 2024년 4월 유베이스가 운영하는 대표 홈페이지 관리자 계정으로 접속해 문의게시판 이용자 1852명의 개인정보(이름, 전화번호, 이메일, 회사명)를 유출하고 텔레그램에 게시했다.
조사 결과, 유베이스는 외부에서 관리자 페이지 접속이 가능하도록 운영하면서 접속 권한을 인터넷 프로토콜(IP) 주소 등으로 제한하지 않았다. 또한, 안전한 인증수단 없이 아이디·비밀번호 만으로 접속이 가능하도록 운영하고, 개인정보처리시스템의 접속기록 보관·관리도 미흡했다.
이에 따라 개인정보위는 유베이스에 과징금 1억 6800만 원을 부과하고, 처분받은 사실을 운영 중인 홈페이지에 공표하게 했다.
■ 썬포토: 과징금 3000만 원 부과 및 공표명령 >
해커는 2024년 8월 썬포토가 운영하는 웹사이트 관리자 계정으로 접속해 회원 약 17만 명의 개인정보(이름, 아이디, 휴대전화번호, 성별 등) 및 주문정보(13건)를 유출했다. 또 주문자 1인에게 썬포토 직원을 사칭한 보이스피싱을 시도한 것으로 확인됐다.
조사 결과, 썬포토는 웹사이트 관리자 페이지에 대한 접속 권한을 인터넷 프로토콜(IP) 주소 등으로 제한하지 않았고, 개인정보처리시스템에 대한 접속기록을 보관·관리하지 않는 등 안전성 확보조치 의무를 위반한 사실이 확인됐다.
이에, 개인정보위는 썬포토에게 과징금 3000만 원을 부과하고, 처분받은 사실을 운영 중인 홈페이지에 공표하게 했다.
관련기사
- 개인정보위, '본인전송요구권' 안착 지원한다2026.06.25
- 개인정보위 "상조업계 개인정보 보호 체계 미흡"2026.06.25
- 개인정보위, 빗썸 과징금 2억 1000만원 부과2026.06.25
- 개보위, 3기 개인정보처리 평가위원 30명 위촉...위원장 이희정 고대 교수2026.07.06
■ 이번 조사·처분의 의의
최근 개인정보처리시스템에 대한 접근통제 미흡, 안전한 인증수단 미적용 등 기본적인 안전조치 소홀로 개인정보가 유출되는 사고가 지속적으로 발생하고 있다. 이를 예방하기 위해 개인정보처리자는 개인정보처리시스템에 대한 접속 권한을 인터넷 프로토콜(IP) 주소 등으로 제한해야 하며, 특히 외부에서 접속이 필요한 경우에는 아이디, 비밀번호 외 추가 인증 수단을 적용할 것을 개인정보위는 당부했다.











