29만 개인정보 유출한 LG U+, 과징금 68억 부과(상보)

함정선 2023. 7. 12. 14:02
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
개보위, 과징금 68억과 과태료 2700만원 부과
고객인증시스템서 2018년 6월 유출
보안 소홀 지속돼 개인정보법 위반으로 판단

고학수 개인정보보호위원장이 12일 전체회의를 주재하고 있다.

고학수 개인정보보호위원장이 12일 전체회의를 주재하고 있다.
[이데일리 함정선 기자] 개인정보보호위원회는 12일 전체회의를 열고 19만명의 개인정보를 유출한 LG유플러스(032640)에 대해 과징금 68억원과 과태료 2700만원을 부과했다. 이와 함께 전반적인 시스템 점검과 취약부분 개선 등 재발 방지를 위한 시정조치도 의결했다.

개인정보위는 한국인터넷진흥원과 개인정보 유출 사건을 조사한 결과 유출이 확인된 개인정보는 중복을 제거하고 총 29만7117건이며 유출 항목은 휴대전화번호·성명·주소·생년월일·이메일주소·아이디·유심(USIM) 고유번호 등 26개의 항목이다.

LG유플러스의 여러 시스템 중 유출된 데이터와 가장 일치하는 데이터를 보관하는 시스템은 부가서비스 가입·해지 기능 등을 제공하는 고객인증시스템(CAS)인 것으로 조사됐으며 유출시점은 지난 2018년 6월께인 것으로 분석·확인됐다.

개인정보위는 LG유플러스의 개인정보 처리·운영 실태와 개인정보 보호법 준수 여부를 조사한 결과 올해 1월까지 고객인증시스템(CAS)의 서비스 운영 인프라와 보안 환경이 해커 등 불법침입에 매우 취약한 상황이라고 판단했다.

고객인증시스템(CAS)의 운영체제(OS), 데이터베이스 관리시스템(DBMS), 웹서버(WEB), 웹 애플리케이션 서버(WAS) 등 상용 소프트웨어 대부분이 유출이 발생한 것으로 추정되는 2018년 6월 기준 단종됐거나 기술지원이 종료된 상태라는 설명이다.

또한 불법침입과 침해사고 방지에 필요한 침입차단시스템(방화벽), 침입방지시스템(IPS), 웹방화벽 등 기본적인 보안장비가 설치되지 않았거나 설치 중이더라도 보안정책이 제대로 적용되지 않았고, 일부는 기술지원이 중단된 상태인 것으로 나타났다.

특히 고객인증시스템(CAS) 개발기에 2009년과 2018년에 업로드한 악성코드(웹셸)가 2023년 1월까지 삭제되지 않고 남아 있었고, 웹셸에 대한 점검이나 IPS의 웹셸 탐지·차단 정책도 적용되지 않고 있었던 것으로 조사됐다.

이와 함께 고객인증시스템(CAS) 운영기에서 관리하는 실제 운영 데이터(개인정보 포함)를 개발기, 검수기로 옮겨 테스트를 진행한 후, 일부 데이터를 방치해 2008년에 생성한 정보 등 1000만건 이상의 개인정보가 조사 시점까지 남아 있던 것으로 드러났다.

개인정보위는 또 LG유플러스가 다량의 개인정보를 관리하면서도 개인정보취급자의 접근권한과 접속기록을 제대로 관리하지 않아 대규모 개인정보를 추출·전송한 기록을 남기지 않고 비정상 행위 여부에 대한 점검·확인이 안되는 등 관리 통제도 부실한 상황이라고 판단했다.

개인정보위는 LG유플러스가 다수 국민의 개인정보를 처리하는 유·무선 통신사업자로, 엄격한 개인정보 관리가 요구됨에도 불구하고 고객인증(CAS) 시스템의 전반적인 관리 부실과 함께 타사 대비 현저히 저조한 정보보호·보안 관련 투자와 노력 부족이 개인정보 유출사고로 이어졌다고 보고 있다. 이에 LG유플러스에 대해 보호법 위반으로 과징금과 과태료를 부과하기로 결정했다.

또한 최근 3년간 보호법 위반사실이 존재하는 LG유플러스에 대해 개인정보보호책임자(CPO, Chief Privacy Officer)의 역할과 위상 강화, 개인정보 보호 조직의 전문성 제고, 개인정보 내부관리계획 재정립, 전반적인 시스템 점검 및 취약요소 개선 등을 시정명령 하기로 하면서, 지난 1월 사고 이후 LG유플러스에서 약속한 개인정보 보호 관련 각종 투자와 2차 피해방지 대책을 차질 없이 이행할 것을 당부했다. LG유플러스는 지난 2020년 12월 수탁자에 대한 관리·감독 소홀, 개인정보 보호조치(접근통제) 위반으로 과징금·과태료 처분을 받은 바 있다.

개인정보위는 2018년 6월께 발생한 유출임에도 현재까지 해당 시스템 관리의 전반적 부실과 다수의 법규위반이 이어지고 있다고 보고 과징금이 부과했다고 강조하고 있다. 이에 따라 이번 조치로 평소 다량의 개인정보를 보유·처리하는 사업자가 개인정보 보호 관련 예산·인력의 투입을 비용이 아닌 투자로 파악하는 전기로 삼을 것으로 기대하고 있다. 또한, 데이터 경제시대 개인정보 보호 관련 최고책임자(CPO) 및 조직이 기업경영에서 차지하는 역할과 중요성에 대해 재고하게 되는 계기가 될 것으로 기대한다고 밝혔다.

함정선 (mint@edaily.co.kr)

Copyright © 이데일리. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
이데일리에서 직접 확인하세요. 해당 언론사로 이동합니다.