‘LG유플 개인정보 유출’ 과징금 68억원…역대 최고액

김유대 2023. 7. 12. 14:40
자동요약 기사 제목과 주요 문장을 기반으로 자동요약한 결과입니다.
전체 맥락을 이해하기 위해서는 본문 보기를 권장합니다.

지난 1월 LG유플러스에서 발생한 약 30만 건의 고객 개인정보 유출 사고와 관련해 68억 원의 과징금이 부과됐습니다.

개인정보위원회는 오늘(12일) 전체회의를 열어, LG유플러스의 개인정보 유출에 대해 과징금 68억 원과 함께 과태료 2,700만 원을 부과했습니다.

이번에 LG 유플러스에 부과된 68억 원은 개인정보 유출 사고 관련 과징금으로 역대 최고액입니다.

닫기
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기

지난 1월 LG유플러스에서 발생한 약 30만 건의 고객 개인정보 유출 사고와 관련해 68억 원의 과징금이 부과됐습니다.

개인정보위원회는 오늘(12일) 전체회의를 열어, LG유플러스의 개인정보 유출에 대해 과징금 68억 원과 함께 과태료 2,700만 원을 부과했습니다.

또한, 전반적인 시스템 점검과 취약부분 개선 등 재발 방지를 위한 시정조치를 의결했습니다.

이번에 LG 유플러스에 부과된 68억 원은 개인정보 유출 사고 관련 과징금으로 역대 최고액입니다.

개인정보위는 “다수 국민의 개인정보를 처리하는 유‧무선 통신사업자로서 엄격한 개인정보 관리가 요구됨에도 불구하고, 고객인증(CAS) 시스템의 전반적인 관리 부실이 확인됐다”며 “타사 대비 현저히 저조한 정보보호‧보안 관련 투자와 노력 부족이 이번 개인정보 유출 사고로 이어졌다”고 제재 사유를 밝혔습니다.

앞서 개인정보위는 민관 합동조사단·경찰 등과 협조해 지난 1월 해커에 의해 불법거래 사이트에 개인정보 약 60만 건(중복 제거 시 약30만 건)이 공개된 LG유플러스에 대한 조사를 진행했습니다.

분석 결과 유출이 확인된 개인정보는 중복 사례를 제외하면 모두 29만 7,117건이었습니다. 유출 항목은 휴대 전화 번호·성명·주소·생년월일·이메일주소·아이디·USIM 고유번호 등 26개의 항목으로 나타났습니다.

또, LG유플러스의 여러 시스템 중 유출된 데이터와 가장 일치하는 데이터를 보관하는 시스템은 고객인증시스템(CAS)이고, 유출 시점은 2018년 6월경으로 확인됐습니다.

개인정보위는 LG유플러스의 “고객인증시스템(CAS)의 서비스 운영 인프라와 보안 환경은 해커 등의 불법침입에 매우 취약한 상황이었다”고 평가했습니다.

또, “고객인증시스템(CAS)의 운영체제(OS), 데이터베이스 관리시스템(DBMS), 웹서버(WEB), 웹 어플리케이션 서버(WAS) 등 상용 소프트웨어 대부분이 유출이 발생한 것으로 추정되는 2018년 6월 기준으로 단종되거나 기술지원이 종료된 상태였다”고 지적했습니다.

특히, 불법침입과 침해사고 방지에 필요한 침입차단시스템(방화벽), 침입방지시스템(IPS), 웹 방화벽 등 기본적인 보안장비가 설치되지 않은 것으로 나타났습니다.

해당 보안 장비가 설치 중이더라도 보안정책이 제대로 적용되지 않았고, 일부는 기술지원이 중단된 상태로 조사됐습니다.

실제로 고객인증시스템(CAS) 개발기에 2009년과 2018년에 업로드된 악성코드(웹셸)가 2023년 1월까지 삭제되지 않고 남아 있었던 것으로 확인됐습니다. 악성코드(웹셸)에 대한 점검이나 침입방지시스템(IPS)의 탐지‧차단 정책 역시 적용되지 않았습니다.

개인정보위는 “고객인증시스템(CAS) 운영기에서 관리하는 실제 운영 데이터(개인정보 포함)를 개발기, 검수기로 옮겨 테스트를 진행한 후, 일부 데이터를 방치했다”며 “2008년에 생성된 정보 등 1천만 건 이상의 개인정보가 조사 시점까지 남아 있었다”고 설명했습니다.

또, “다량의 개인정보를 관리하면서도 개인정보취급자의 접근 권한과 접속기록을 제대로 관리하지 않았다”며 “대규모 개인정보를 추출‧전송한 기록을 남기지 않고 비정상 행위 여부에 대한 점검과 확인이 안 되는 등 관리 통제도 부실한 상황”이라고 밝혔습니다.

개인정보위는 “이번 조치는 2018년 6월경 발생한 유출로 분석되었으나 현재까지 지속된 해당 시스템 관리의 전반적 부실과 다수의 법규위반으로 과징금이 부과된 건”이라며 “평소 다량의 개인정보를 보유·처리하는 사업자의 경우 개인정보 보호 관련 예산·인력의 투입을 비용이 아닌 투자로 파악하는 전기가 될 것으로 기대한다”고 강조했습니다.

이에 대해 LG유플러스는 “이번 일로 불편을 겪으셨을 고객분들께 다시 한번 고개 숙여 사과의 말씀을 드린다”며 “지난 2월 1,000억원 규모의 정보보호투자 계획을 포함한 전사적 차원의 재발방지 대책을 추진하고 있다. 고객분들께 신뢰를 드릴 수 있는 보안에 강한 회사로 거듭나겠다”고 밝혔습니다.

[사진 출처 : 연합뉴스]

■ 제보하기
▷ 전화 : 02-781-1234, 4444
▷ 이메일 : kbs1234@kbs.co.kr
▷ 카카오톡 : 'KBS제보' 검색, 채널 추가
▷ 카카오 '마이뷰', 유튜브에서 KBS뉴스를 구독해주세요!

김유대 기자 (ydkim@kbs.co.kr)

Copyright © KBS. All rights reserved. 무단 전재, 재배포 및 이용(AI 학습 포함) 금지

이 기사에 대해 어떻게 생각하시나요?
KBS에서 직접 확인하세요. 해당 언론사로 이동합니다.