개인정보위원회, LGU+에 과징금 68억원

LGU+ "다시 한번 사과 말씀…보안 강한 회사로 거듭날 것"

개인정보보호위원회 명패 (개인정보보호위원회 제공) 2021.1.12/뉴스1

(서울=뉴스1) 양새롬 기자 = 개인정보보호위원회는 12일 전체회의를 열고 개인정보 유출사고가 발생한 LG유플러스(032640)에 과징금 68억원과 과태료 2700만 원을 부과했다.

전반적인 시스템 점검과 취약부분 개선 등 재발 방지를 위한 시정조치안을 의결했다.

LG유플러스는 1월 해커에 의해 불법 거래사이트에 고객 개인정보가 공개됐다. 개인정보위와 한국인터넷진흥원이 분석한 결과, 유출이 확인된 개인정보는 중복 제거시 총 29만7117건이다.

LG유플러스의 여러 시스템 중 유출된 데이터와 가장 일치하는 데이터를 보관하는 시스템은 고객인증시스템(CAS)이다. 1월 개인정보가 공개됐으나 유출시점은 2018년 6월경인 것으로 확인됐다.

CAS는 LG유플러스의 일부 부가 서비스 제공과정에서 고객인증과 부가서비스 가입·해지 기능을 제공하는 시스템이다.

개인정보위는 CAS 운영체제(OS), 데이터베이스 관리시스템(DBMS), 웹서버(WEB), 웹 애플리케이션 서버(WAS) 등 상용 소프트웨어 대부분에서 유출이 발생한 것으로 추정했다. 당시 기술지원이 종료돼 해커 공격에 취약한 것으로 봤다.

또 CAS 개발기에 2009년과 2018년에 업로드된 악성코드(웹셸)가 올 1월까지 삭제되지 않고 남아있었고, 웹셸에 대한 점검이나 IPS의 웹셸 탐지·차단 정책은 적용되지 않았다고 부연했다.

개인정보위는 "2008년에 생성된 정보 등 1000만건 이상의 개인정보가 조사 시점까지 남아 있었던 것으로 확인됐다"고 말했다.

이어 "관리 부실과 저조한 정보보호·보안 관련 투자가 개인정보 유출사고로 이어졌다고 판단한다"고 덧붙였다.

LG유플러스는 이번 과징금 처분에 "이번 일로 불편을 겪으셨을 고객분들께 다시 한번 고개 숙여 사과의 말씀을 드린다"고 머리를 숙였다.

또 "지난 2월 1000억원 규모의 정보보호투자 계획을 포함한 전사적 차원의 재발방지 대책을 추진하고 있다"며 "앞으로 고객분들께 신뢰를 드릴 수 있는 보안에 강한 회사로 거듭나겠다"고 약속했다.

한편 개인정보위는 또 이날 회의에서 개인정보보호 법규를 위반한 BSC와 SK(계열사 및 수펙스추구협의회), 인크루트에 대한 과태료와 과징금 부과 등도 의결했다.

flyhighrom@news1.kr