개인정보 29만건 유출 LG유플러스, 국내 기업 중 과징금 최고액 68억 부과

개인정보보호위원회(위원장 고학수)는 12일 오전 정부서울청사에서 전체회의를 개최하고, 개인정보 29만건이 유출된 LG유플러스에 국내 기업 중 과징금 최고액인 68억원과 과태료 2700만원을 부과했다. 개인정보보호위원회가 추징한 역대 과징금 최고액은 지난 2022년 구글 692억원, 메타 308억원이었다.

LG유플러스 로고

또, LG유플러스에 전반적인 시스템 점검 및 취약부분 개선과 같은 재발 방지를 위한 시정조치도 의결했다.

LG유플러스는 지난 1월 해커에 의해 개인정보 29만7117건이 유출됐다. 유출 항목은 이용자의 전화번호·성명·주소·생년월일·이메일주소·아이디·USIM고유번호 등 총 26개 항목이다.

개인정보보호위원회는 민관합동조사단, 경찰 등과 협조해 조사를 진행했다. 그 결과 이번 개인정보 유출은 LG유플러스가 데이터를 보관하는 고객인증시스템(CAS)에서 유출된 것으로 판단했다.

조사 당시, 고객인증시스템은 대부분 2018년 이후 기술지원이 종료됐고, 방화벽이나 침입방지시스템, 웹방화벽 등 보안장비가 설치되지 않거나 설치되더라도 보안이 제대로 적용되지 않은 상태였다. 또, 고객인증시스템이 개발된 2009년에 설치됐던 악성코드가 2023년 현재까지 남아 있었다.

이 밖에도 고객인증시스템에는 2008년 이후 생성된 테스트용 고객 개인정보 1000만건이 아직 남아있는 상태였다. 테스트용 정보의 경우, 테스트 직후 반드시 삭제해야한다. 이렇듯 LG유플러스는 다량의 개인정보를 관리하면서도 비정상 행위 여부에 대한 점검과 확인이 안되는 등 관리 통제도 부실한 상태였다고 개인정보보호위원회는 설명했다.

개인정보보호위원회는 “다수 국민의 개인정보를 처리하는 유·무선 통신사업자인 LG유플러스가 엄격한 개인정보 관리가 요구됨에도 관리 부실 및 저조한 정보보호 관련 투자와 노력이 부족해 과징금과 과태료 부과를 결정하게됐다”고 했다.

LG유플러스는 이에 대해 “지난 2월 1000억 규모의 정보보호투자 계획을 포함한 재발방지 대책을 추진하고있다”며 “이번 일로 불편을 겪으셨을 고객분들께 다시 한 번 죄송하다”고 했다.