개인정보위, '고객정보 유출' LGU+ 조사…보이스피싱·복제폰 우려

황정빈 기자 2023. 1. 11. 15:36
음성재생 설정
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

과징금은 전체 매출 대신 '위반행위 관련' 매출 기준 적용될 듯

(지디넷코리아=황정빈 기자)개인정보보호위원회가 11일 18만명의 고객 정보가 유출됐다고 밝힌 LG유플러스에 대해 상암 사옥 현장 조사에 착수했다. 유출된 고객 정보에는 이름, 전화번호, 생년월일 등이 포함된 것으로 확인돼 보이스피싱이나 복제폰을 만드는 데 악용될 우려가 제기된다.

이날 현장조사는 개인정보위뿐 아니라 과학기술정보통신부와 한국인터넷진흥원(KISA)도 진행한다. 개인정보위 관계자는 "이번에 유출된 정보가 LG유플러스의 자료인지 확인하는 과정을 거친 후, 지난 9일 사실 조사에 착수하고 11일 현장 조사를 나갔다"고 밝혔다.

LG유플러스 용산 사옥 (사진=뉴스1)

LG유플러스는 지난 10일 자사 홈페이지를 통해 약 18만 고객의 일부 정보 유출이 확인됐다고 밝혔다. LG유플러스에 따르면 유출된 고객 개인정보에는 성명, 생년월일, 전화번호 등이 포함됐으며 납부 관련 금융 정보는 포함되지 않은 것으로 알려졌다.

유출된 LG유플러스의 고객 정보는 다크웹에 게시된 것으로 알려졌다. LG유플러스는 정보가 유출된 자사 고객 수가 18만명이라고 밝혔지만, 다크웹에 LG유플러스 고객 정보를 판매한다고 글을 올린 게시자는 자신이 갖고 있는 데이터 규모가 2천만건에 달한다고 밝힌 것으로 알려졌다.

이와 관련해 개인정보위 관계자는 "게시자는 2천만건 이상의 데이터를 보유하고 있다고 밝혔지만, 실제 공개한 샘플 데이터 건수는 일부로 이는 일방적 주장일 수 있다"며 "현장 조사를 진행해 사실 관계를 파악해봐야 한다"고 말했다.

다크웹에 판매글을 올린 게시자에 따르면, 게시자는 성명, 생년월일, 전화번호뿐 아니라 단말기 고유식별번호(IMEI), 휴대전화 모델명 등까지 갖고 있는 것으로 알려졌다.

사이버보안 전문가에 따르면 유출된 LG유플러스의 고객 정보는 복제폰을 만들거나 보이스피싱에 이용당할 수 있어 주의가 요구된다. 익명을 요구한 사이버보안 전문가는 "누군가가 해당 데이터를 해커로부터 산다면 이름, 핸드폰 번호, 통신사를 다 알기 때문에 보이스피싱에 이용하기 쉽다"며 "SMS 2차 인증 등에 이를 활용해 해킹할 수 있으며, IMEI 정보까지 안다면 복제폰도 만들 수 있다"고 설명했다.

따라서 "통신사는 자사 로그인 사용자에 대한 감시를 강화해야 한다"며 "통신사는 갑자기 해외 로그인 건수가 많아지는지 등에 대해 감시를 강화할 필요가 있으며, 사용자는 패스워드를 바꾸는 것이 좋다"고 조언했다.

LG유플러스의 고객 정보가 어떻게 유출된 건지, 그 경위를 조사하는 데 걸리는 시간은 아직 예측이 어려운 것으로 확인됐다. 개인정보위 관계자는 "통상적으로 경위 조사에는 많은 시간이 걸리긴 하는데 최대한 빨리 해보려 한다"면서도 "구체적 시점은 말하기 어렵다"고 말했다. 이번 사건의 정확한 데이터 유출 시점 또한 파악 중이다.

LG유플러스의 고객 정보가 유출된 것은 이번이 처음이 아니다. LG유플러스는 임직원 등의 메일 정보가 해킹, 다크웹에 게시돼 지난해 9월 개인정보위로부터 개인정보보호법 위반으로 600만원의 과태료를 부과받았다.

이후 지난해 11월에는 LG유플러스 대리점 시스템의 개인정보 안전조치 모의테스트 수행 과정에서 가상 파일이 아닌 실제 개인정보 파일을 사용한 사실이 확인돼 1천200만원의 과태료를 부과받기도 했다. 당시 개인정보가 실제로 유출되진 않았지만, 유출 위험성이 있는데도 이를 방치해 안전 조치 위반으로 판단됐다.

이번 사건 조사 과정에서 LG유플러스의 고객 정보 보호 조치가 소홀한 부분이 발견된다면, LG유플러스는 개인정보보호법 위반으로 개인정보위로부터 또 한번 과징금을 부과받을 수 있다.

과징금의 경우, 개인정보보호법 위반행위에 대한 경제적 제재를 강화하기 위한 '개인정보보호법'이 아직 개정되기 전이기 때문에 개정안에 새롭게 반영된 '전체 매출액' 기준이 아닌 '위반행위 관련 매출액'을 기준으로 산정될 전망이다. 현행 개인정보보호법에는 위반행위에 대한 과징금 상한액은 '위반행위와 관련된 매출액'의 3% 이하에 해당하는 금액으로 산정된다.

LG유플러스의 잇따른 개인정보 유출 사고와 관련해 LG유플러스의 고객 정보 관리 시스템이 부실한 것이 아니냐는 의견이 제기된다. 과기정통부에 따르면 LG유플러스의 정보보호 전담인력은 91.2명으로 전체 인력 중 3.91%를 차지하며, 이동통신 3사 중 가장 전담인력이 적은 것으로 나타났다. KT의 정보통신 전담인력은 335.8명, SK텔레콤은 196.1명이었다.

LG유플러스의 정보보호 투자액 또한 292억원으로 이동통신 3사 중 가장 적었다. 그러나 투자 비중은 3.87%로 SK텔레콤(3.66%)보다 조금 앞서는 2위인 것으로 나타났다.

개인정보위는 이번 사건과 관련해 "개인정보 유출 경위, 유출 규모, 안전조치의무 준수 여부 등 개인정보보호법 위반 여부를 조사해 위반사항이 확인되면 엄정히 행정처분할 것"이라며 "LG유플러스의 재발방지 대책 등도 점검할 계획"이라고 밝혔다.

황정빈 기자(jungvinh@zdnet.co.kr)

Copyright © 지디넷코리아. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?