LG U+, 29.7만 개인정보 유출에 68억 과징금…'역대 최대'

함정선 2023. 7. 12. 15:01
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
개인정보위, 과징금 68억·과태료 2700만원 부과
2018년 6월께 고객인증시스템 유출로 추정
유출 경로 명확하지 않아도 '안전조치 의무 위반' 판단
LG U+ "전사적 재발 방지 대책 추진"

고학수 개인정보보호위원장이 12일 전체회의를 주재하고 있다.

고학수 개인정보보호위원장이 12일 전체회의를 주재하고 있다.

[이데일리 함정선 기자] 29만7117건의 개인정보를 유출한 LG유플러스가 68억원의 과징금과 2700만원의 과태료를 부과받았다. 개인정보위가 국내 기업에 부과한 과징금 규모로는 역대 최대다.

정보유출은 2018년 6월께 발생한 것으로 추정되며 정보 유출 경로를 명확하게 파악하지는 못했지만, 개인정보보호위원회는 당시 LG유플러스가 개인정보보호 안전 조치 의무를 다하지 못해 개인정보보호법을 위반했다고 판단했다. 또한 개인정보위는 LG유플러스가 정보유출을 인지하고 신고는 제때 했지만, 이를 24시간 이내 고객에 통지해야 하는 의무는 다하지 못했다고 봤다.

개인정보보호위원회는 12일 전체회의를 열고 19만명의 개인정보를 유출한 LG유플러스(032640)에 대해 과징금 68억원과 과태료 2700만원을 부과를 결정했다. 이와 함께 전반적인 시스템 점검과 취약부분 개선 등 재발 방지를 위한 시정조치도 의결했다.

지난 1월 LG유플러스는 해커에 의해 약 60만건의 개인정보가 유출된 것으로 확인된다. 중복을 제거하면 29만7117명에 대한 개인정보가 해커의 손에 들어갔다.

개인정보위가 한국인터넷진흥원과 개인정보 유출 사건을 조사한 결과 정보가 유출된 항목은 휴대전화번호·성명·주소·생년월일·이메일주소·아이디·유심(USIM) 고유번호 등 26개에 이른다.

LG유플러스의 여러 시스템 중 유출된 데이터와 가장 일치하는 데이터를 보관하는 시스템은 부가서비스 가입·해지 기능 등을 제공하는 고객인증시스템(CAS)인 것으로 조사됐으며 유출시점은 지난 2018년 6월께인 것으로 분석·확인됐다.

과학기술정보통신부의 조사에서도 개인정보 유출 경로를 명확하게 파악되지 않았다. 다만 개인정보위는 올해 1월까지 고객인증시스템(CAS)의 서비스 운영 인프라와 보안 환경이 해커 등 불법침입에 매우 취약한 상황인 점을 고려, LG유플러스가 개인정보보호법을 준수하지 않았다고 판단했다.

개인정보위에 따르면 고객인증시스템(CAS)의 운영체제(OS), 데이터베이스 관리시스템(DBMS), 웹서버(WEB), 웹 애플리케이션 서버(WAS) 등 상용 소프트웨어 대부분이 유출이 발생한 것으로 추정되는 2018년 6월 기준 단종됐거나 기술지원이 종료된 상태였다.

또한 불법침입과 침해사고 방지에 필요한 침입차단시스템(방화벽), 침입방지시스템(IPS), 웹방화벽 등 기본적인 보안장비가 설치되지 않았거나 설치 중이더라도 보안정책이 제대로 적용되지 않았고, 일부는 기술지원이 중단된 상태인 것으로 나타났다. 특히 고객인증시스템(CAS) 개발기에 2009년과 2018년에 업로드한 악성코드(웹셸)가 2023년 1월까지 삭제되지 않고 남아 있었고, 웹셸에 대한 점검이나 IPS의 웹셸 탐지·차단 정책도 적용되지 않고 있었던 것으로 조사됐다.

이와 함께 고객인증시스템(CAS) 운영기에서 관리하는 실제 운영 데이터(개인정보 포함)를 개발기, 검수기로 옮겨 테스트를 진행한 후 일부 데이터를 방치해 2008년에 생성한 정보 등 1000만건 이상의 개인정보가 조사 시점까지 남아 있던 것으로 드러나기도 했다.

남석 개인정보위 조사국장은 “2018년 6월 당시의 개인정보보호 안전 조치 의무 위반도 확인했고, 개인정보보호 조치가 소홀한 것이 지금까지 이어지고 있는 것도 확인했다”고 설명했다.

개인정보위는 LG유플러스의 과징금을 산정하며 정보유출이 일어난 시스템이 부가서비스인 점을 고려, 과징금 산정의 기준을 통신 매출이 아닌 부가서비스 매출의 30%로 설정했다.

이에 대해 LG유플러스 측은 “이번 일로 불편을 겪으셨을 고객들께 다시 한 번 고객 숙여 사과의 말씀을 드린다”며 “지난 2월 1000억원 규모의 정보보호투자 계획을 포함한, 전사적 차원의 재발방지 대책을 추진하고 있으며 앞으로 고객들께 신뢰를 줄 수 있는 보안에 강한 회사로 거듭나겠다”고 밝혔다.

함정선 (mint@edaily.co.kr)

Copyright © 이데일리. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
이데일리에서 직접 확인하세요. 해당 언론사로 이동합니다.