“법무법인 로고스, 소송자료 18만건 유출…5억 과징금”

김세민 기자
입력 2025.11.21 20:19
댓글 0

국내 대형 로펌 가운데 하나인 법무법인 로고스가 내부 시스템이 해킹당해 소송자료 18만5047건을 통째로 유출한 사실이 드러나 5억2300만원의 과징금 처분을 받았다.

해커가 빼간 자료는 1.59TB 규모로, 이름·주민등록번호·주소·계좌번호·범죄 이력·건강정보 등 극도로 민감한 개인정보까지 포함돼 있어 다크웹에 확산된 뒤 2차 피해 우려가 커지고 있다.

법무법인이라는 특성상 민감자료를 최전선에서 다루는 기관이 기본적인 보안 의무조차 지키지 않은 것으로 확인되자 법조계와 개인정보보호 업계에서는 “최악의 관리 부실”이라는 평가가 나온다.

모두발언하는 송경희 개보위원장 (서울=연합뉴스) 송경희 개인정보보호위원회 위원장이 지난 20일 서울 종로구 정부서울청사에서 열린 2025년 제23회 개인정보보호위원회 전체회의에서 모두발언을 하고 있다. 2025.11.2

21일 개인정보보호위원회는 전체회의를 열고 로고스에 과징금 5억2300만원과 과태료 600만원을 부과하기로 의결했다고 밝혔다. 개인정보위는 지난 8월 다크웹에 ‘대한민국 대형 로펌 자료’라는 제목의 파일이 유통되는 정황을 확인한 뒤 조사에 들어갔다.

조사 결과 해커는 2023년 7~8월 사이 로고스 관리자 계정의 ID와 비밀번호를 탈취한 뒤 내부 인트라넷에 직접 접속해 사건관리 리스트 4만3892건을 내려받고, 별도로 소장·판결문·증거자료·의료기록·금융거래내역 등 18만여건을 통째로 빼간 것으로 드러났다.

이 과정에서 로고스가 유지해 온 보안 체계의 심각한 허점도 확인됐다. 외부에서 내부 시스템에 접속할 때 IP 제한이 없었고, 2단계 인증도 적용하지 않아 단순 ID·비밀번호만으로 관리자 권한에 접근할 수 있는 구조였던 것으로 조사됐다. 웹페이지 역시 취약점 점검이 이뤄지지 않았으며, 주민등록번호·건강정보·계좌번호 등 민감정보가 암호화되지 않은 채 장기간 저장돼 있었다. 개인정보 파기 기준도 마련돼 있지 않았고, 내부 보안관제 역시 사실상 기능을 못한 것으로 확인됐다.

또한 로고스는 2023년 9월 5일 당시 이미 유출 사실을 인지했음에도 불구하고, 피해자 통지는 1년이 지난 2024년 9월 29일에서야 이뤄진 것으로 드러났다. 개인정보위는 이 같은 지연 통지 또한 명백한 법 위반으로 판단했다. 해커는 자료 탈취 후 랜섬웨어 악성코드를 로고스 메일 서버에 심어 서버를 마비시키기도 했고, 이후 로고스는 전면 시스템 재구축에 나설 수밖에 없었다.

로고스는 “고객 정보를 보호해야 하는 법무법인으로서 기본 책무를 다하지 못해 사과드린다”며 “지난 1년간 정밀 보안 컨설팅 실시, 네트워크 장비 교체, AI 기반 차세대 위협 탐지 체계 도입 등 전방위적 보안 강화 작업을 진행했다”고 해명했다. 이어 “이번 사태를 뼈아프게 돌아보고 정보보안 체계를 다시 정비하겠다”고 밝혔다.

하지만 업계에서는 “로펌이 다루는 정보의 민감도를 고려하면 이번 사고는 단순 해킹 피해가 아닌 구조적 관리 부실의 결과”라며 “피해 자료가 이미 다크웹에 유포된 만큼, 장기적 2·3차 피해 가능성을 철저히 점검해야 한다”는 지적이 나온다. 피해자 규모가 막대한 만큼 향후 집단분쟁조정이나 손해배상 소송으로 이어질 가능성도 제기된다.