법무법인 로고스, 18만건 소송자료 유출로 5억 과징금

 

2025년 11월 21일, 법무법인 로고스(Logos)가 전산 보안 소홀로 인해 대규모 개인정보 유출 사고를 일으킨 사실이 공개됐다.
개인정보보호위원회(이하 개인정보위)는 로고스가 관리하던 1.6TB(테라바이트) 규모의 소송자료가 해킹되어 다크웹에 유출된 사실을 확인하고, 총 5억2300만원의 과징금과 과태료를 부과했다.

놀라운 점은, 이 사건이 발생한 지 1년이 지난 후에야 고객에게 통보되었다는 것이다.
이는 국내 로펌 중 유례없는 보안사고로, 법률 서비스를 제공하는 기관의 정보보호 의무와 신뢰도에 큰 타격을 입혔다.

 

---

 사건 개요 — 내부망 뚫려 18만건 탈취, 다크웹에 유출

2024년 7~8월경, 해커는 로고스의 관리자 계정(ID, 비밀번호)를 탈취하여 내부 시스템에 침입했다.
그 결과 4만4000건의 사건관리 목록과 18만5047건의 소송자료 문서(총 1.59TB)를 다운로드했다.

이 자료에는 단순한 사건정보뿐 아니라

• 의뢰인 이름, 주민등록번호, 주소, 연락처
• 판결문, 증거자료, 금융거래내역서
• 의료 진단서, 신분증 사본, 통장 사본
  까지 포함되어 있었다.
  즉, 일반 개인정보를 넘어 민감정보까지 대규모로 유출된 중대 사고였다.

이후 해커는 8~9월 랜섬웨어를 심어 서버를 마비시키고,
로고스는 결국 시스템 전체를 새로 구축해야 했다.

---

로고스의 보안 관리 부실 — “비밀번호만으로 내부 접속 가능”

조사 결과, 로고스는 내부망 접근에 IP 제한조차 두지 않은 상태였다.
또한 이중인증(MFA) 같은 추가 인증도 없이,
단순히 아이디와 비밀번호만으로 외부인이 내부망 접속이 가능한 구조였다.

더 충격적인 사실은,

• 주민번호와 계좌번호가 암호화되지 않은 상태로 저장,
• 개인정보 보유기간과 파기 기준조차 마련되지 않은 점이었다.

즉, 수많은 사건 의뢰인들의 **민감한 법률 정보가 ‘무방비 상태’**로 보관되고 있었던 셈이다.

---

 “1년 동안 통보도 안 했다” — 고객 보호보다 이미지 관리?

로고스는 이 사건을 2024년 9월에 이미 인지했음에도,
무려 1년이 지난 2025년 9월에야 고객에게 유출 사실을 통지했다.

이처럼 긴 통보 지연은 법률적·도덕적 의무 위반에 해당할 수 있으며,
개인정보위 역시 이를 “매우 중대한 위반”으로 판단했다.

그럼에도 불구하고 로고스는

“법률 검토가 필요한 사안이라 답변이 어렵다.”
며 해명조차 명확히 하지 않았다.

 

결국, ‘SKT 유심해킹’ 피해자 소송을 대리했던 로펌이 정작 자신은 해킹 피해의 당사자였던 셈이다.
이 사건은 단순한 해킹이 아니라, 법률 기관의 신뢰 붕괴 사건으로 기록될 가능성이 크다.

---

 개인정보위의 강력한 제재 — 과징금 + 시정명령 + 공표조치

개인정보위는 로고스의 행위를 개인정보보호법 위반 중 “가장 중대한 수준”으로 판단했다.
이에 따라

• 과징금 5억2300만원
• 과태료 600만원
• 홈페이지 공표 명령
• 보호·관리 체계 시정명령
  을 병행했다.

이는 단순한 행정처분이 아니라, 법률서비스 기관의 보안 의무를 경고하는 전례적 조치로 평가된다.

---

 법률업계의 시사점 — “변호사도 보안 전문가가 되어야 한다”

이번 사건은 단순한 보안사고가 아니다.
법률사무소·로펌이 다루는 정보의 특수성 때문이다.

소송자료에는 한 사람의 인생, 재산, 건강, 심지어 범죄이력까지 포함된다.
즉, 로펌의 보안 실패는 곧 ‘개인의 인생 노출’로 직결되는 것이다.

그럼에도 불구하고 일부 로펌은 여전히
“법률이 우선이지, 보안은 부차적이다”라는 태도를 보이고 있다.
이제는 변호사 역시 ‘디지털 보안 전문가’로서의 책임을 다해야 한다는 목소리가 커지고 있다.

---

 

 결론 — “법률은 정의를 다루고, 보안은 그 정의를 지키는 일이다”

로고스 사건은 대한민국 법률업계에 던지는 강력한 경고다.
‘정의’를 다루는 기관이 ‘정보’의 안전을 지키지 못한다면,
그 어떤 판결문도 신뢰를 얻을 수 없다.

이제 로펌은 법리(法理)보다 더 중요한 현실적 과제를 마주했다.
“보안이 곧 신뢰다.”