‘30만명 개인정보 유출’ LGU+, 과징금 역대 최대 68억 부과

김은성 기자 2023. 7. 12. 14:33
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기

서울 종로구 LG유플러스 직영점에서 지난 2월 직원이 해킹으로 인해 개인정보 유출 피해를 본 고객을 위해 준비한 유심카드를 들고 있는 모습. 연합뉴스 자료사진.

서울 종로구 LG유플러스 직영점에서 지난 2월 직원이 해킹으로 인해 개인정보 유출 피해를 본 고객을 위해 준비한 유심카드를 들고 있는 모습. 연합뉴스 자료사진.

약 30만명의 개인정보 유출사고를 낸 LG유플러스가 68억원의 과징금을 부과받았다. 개인정보보호위원회가 국내 기업에 부과한 과징금으로는 역대 최대다. 해킹 공격을 겪고도 시스템이 작동하지 않아 악성코드가 계속 남아있을 만큼 정보 유출에 대비한 보안장치가 부실한 것이 근본 원인으로 드러났다. 개인정보위는 LG유플러스가 타사 대비 저조한 정보보안 투자와 노력 부족이 유출 사고로 이어졌다고 판단했다.

개인정보위는 12일 전체회의를 열고 개인정보 약 30만명이 유출된 LG유플러스에 대해 과징금 68억원과 과태료 2700만원을 부과했다. LG유플러스는 지난 1월 해커의 공격을 받아 불법거래 사이트에 고객 개인정보 약 60만건이 공개됐다. 이에 개인정보위는 민관 합동조사단 등과 협조해 조사에 나섰다.

개인정보가 유출된 게 확인된 고객 수는 중복 제거 시 총 29만7117명으로 나타났다. 유출 항목은 휴대전화번호·성명·주소·생년월일·이메일 주소·아이디·USIM 고유번호 등 26개 항목이다. LG유플러스의 여러 시스템 중 유출된 데이터와 가장 일치하는 데이터를 보관하는 시스템은 고객인증시스템(CAS)이다.

유출 시점은 2018년 6월로 분석됐다. 그러나 LG유플러스는 1년이 넘은 올해 1월에서야 이를 인지하고 경찰청 사이버수사대와 한국인터넷진흥원(KISA) 등 유관기관에 신고했다. 이 또한 KISA가 제보를 통해 해당 사실을 인지한 후 LG유플러스 측에 먼저 알린 이후였다.

CAS는 LG유플러스 부가 서비스 제공 과정에서 고객인증과 부가서비스 가입·해지 기능을 제공하는 시스템이다. 이에 따라 개인정보위는 정보 유출이 발생한 CAS가 부가서비스 인증 시스템이라는 점을 근거로 과징금 산정 기준을 전체 매출액이 아닌 부가서비스 매출액(30%) 분야로 한정했다.

개인정보위 관계자는 이날 정부서울청사에서 열린 브리핑에서 “(과태료 산정) 관련 매출액에 대한 쟁점이 있었으나, LG유플러스 측이 CAS가 부가서비스에 인증하는 것이라고 소명해 부가서비스 관련 매출액을 기준으로 잡았다”고 말했다.

LG유플러스의 시스템 보안 및 개인정보 관리 상태는 허술했다. 개인정보위에 따르면 LG유플러스는 조사가 시작된 지난 1월까지도 CAS의 서비스 운영 인프라와 보안 환경이 해커의 불법 침입에 취약한 상태로 드러났다. CAS의 운영체제와 데이터베이스 관리시스템, 웹서버 등 LG유플러스가 사용하는 소프트웨어 대부분이 유출이 발생한 것으로 추정되는 2018년 6월 기준으로 단종되거나 기술지원이 종료된 상태였다.

또한 불법 침입과 침해사고 방지에 필요한 침입차단시스템(방화벽) 등 기본적인 보안장비가 설치되지 않았거나, 설치 중이더라도 보안정책이 제대로 적용되지 않았다. 심지어 CAS 개발기에 2009년과 2018년에 업로드된 악성코드(웹셸)가 지난 1월까지 삭제되지 않고 남아있어, 웹셸에 대한 점검이나 차단 정책조차 적용되지 않은 것으로 드러났다.

또 다량의 개인정보를 관리하면서도 개인정보취급자의 접근 권한과 접속기록을 관리하지 않아 대규모 개인정보를 추출·전송한 기록을 남기지 않고, 비정상 행위에 대한 점검·확인이 안 되는 등 관리 통제도 부실했다. LG유플러스는 2020년에도 통신사 중 처음으로 대리점에 대한 관리·감독 소홀, 개인정보 보호조치 등의 위반으로 수천만원의 과징금 처분을 받은 바 있다.

개인정보 유출 사실을 알고도 피해 고객들에게 24시간내 개별적으로 유출 사실을 통지하지 않은 것도 법규 위반항목에 포함됐다.

개인정보위는 “CAS 시스템 관리가 전반적으로 부실했다”며 “타사 대비 현저히 부족한 정보보호 관련 투자와 노력이 이번 개인정보 유출 사고로 이어졌다”고 밝혔다. 아울러 개인정보보호책임자의 역할 강화와 개인정보 보호 조직 전문성 제고, 개인정보 내부관리계획 재정립 등을 하라고 시정명령을 내렸다.

LG유플러스는 입장문을 내고 “이번 일로 불편을 겪으셨을 고객들께 고개 숙여 사과 말씀 드린다”며 “지난 2월 발표한 1000억원 규모의 정보보호 투자 계획을 포함해 재발방지대책을 추진하고 지난 상반기까지 인프라 투자 등에 640억원을 집행하는 등 투자액을 늘리고 있다”고 밝혔다.

개인정보보호위원회 제공.

개인정보보호위원회 제공.

김은성 기자 kes@kyunghyang.com

Copyright © 경향신문. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
경향신문에서 직접 확인하세요. 해당 언론사로 이동합니다.