'29만건 개인정보 유출' LGU+ 과징금 68억원 제재(종합)

개인정보위, LG유플러스에 과징금·과태료·시정명령 의결
2018년6월 고객인증시스템(CAS) 데이터 상당수 유출된 듯
"보안 예산·투자 아닌 투자로 파악하는 전기 돼야"

[서울=뉴시스] 김명원 기자 = 고학수 개인정보보호위원회 위원장이 12일 오전 서울 종로구 정부서울청사에서 제12회 정보보호위원회(개인정보위) 전체회의에 참석해 회의를 시작하며 의사봉을 두드리고 있다. 2023.07.12. kmx1105@newsis.com

【서울=뉴시스】송혜리 기자 = LG유플러스 사이버 해킹사고로 유출된 개인정보가 총 29만7000여건에 달한 것으로 나타났다. 이들 정보는 5년 전인 2018년 6월에 빠져나간 정보들이 상당수다. 개인정보보호위원회는 LG유플러스가 시스템 보안·개인정보 관리가 허술했다고 보고 과징금 68억원을 부과했다.

개인정보보호위원회는 12일 전체회의를 열고 29만7000여건의 고객 정보가 유출된 LG유플러스에 과징금 68억원과 과태료 2700만원을 각각 부과하고, 재발 방지를 위한 시정조치를 내렸다.

지난 1월 LG유플러스 회원 정보 약 60만건(중복 제거시 약 30만건)이 불법 거래사이트에서 판매되고 있다는 사실이 알려진 뒤 개인정보위는 한국인터넷진흥원(KISA) 등 민관합동조사단, 경찰 등과 함께 조사를 진행해왔다.

개인정보위와 KISA가 분석한 결과, 유출이 확인된 개인정보는 총 29만7117건(중복제거시). 유출 항목은 휴대전화번호·성명·주소·생년월일·이메일주소·아이디·유심(USIM)고유번호 등 26개의 항목인 것으로 조사됐다.

이들 정보가 유출된 시점은 2018년 6월경으로, LG유플러스가 일부 부가 서비스를 제공하는 과정에서 고객인증과 부가서비스 가입·해지 기능을 제공하는 고객인증시스템(CAS)의 데이터가 집중적으로 유출된 것으로 확인됐다.

LG유플러스의 시스템 보안 및 개인정보 관리 상태는 허술하기 짝이 없었다. 개인정보위의 조사 결과, 올해 1월까지 고객인증시스템(CAS)의 서비스 운영 인프라와 보안 환경이 해커 등 불법 침입에 상당히 취약했다. 고객인증시스템(CAS)의 운영체제(OS), 데이터베이스 관리시스템(DBMS), 웹서버(WEB), 웹 애플리케이션 서버(WAS) 등 상용 소프트웨어 대부분이 유출 발생 추정시점(2018년 6월 )을 기준으로 단종됐거나 기술지원이 끝난 상태였다.

침입차단시스템(방화벽), 침입방지시스템(IPS), 웹방화벽 등 기본적인 보안장비가 설치되지 않았다. 설치 중이더라도 보안정책이 제대로 적용되지 않았고, 일부는 기술지원이 중단된 상태였다.

심지어 고객인증시스템(CAS) 개발기에는 2009년과 2018년에 업로드한 악성코드(웹셸)가 올해 1월까지 삭제되지 않은 채로 남아 있었고, 웹셸에 대한 점검이나 IPS의 웹셸 탐지·차단 정책도 적용되지 않고 있었던 것으로 조사됐다.

고객인증시스템(CAS) 운영기에서 관리하는 실제 운영 데이터(개인정보 포함)를 개발기, 검수기로 옮겨 테스트를 진행한 후, 일부 데이터를 방치해 2008년에 생성한 정보 등 1000만건 이상의 개인정보가 조사 시점까지 남아 있던 것으로 드러났다.

LG유플러스는 CAS를 개발기, 검수기, 운영기로 나눠 운영한다.

개인정보위는 또 LG유플러스가 다량의 개인정보를 관리하면서도 개인정보취급자의 접근권한과 접속기록을 제대로 관리하지 않았다고 판단했다.

개인정보위는 결론적으로 LG유플러스가 다수 국민의 개인정보를 처리하는 유·무선 통신사업자로, 엄격한 개인정보 관리가 요구됨에도 불구하고 고객인증(CAS) 시스템의 전반적인 관리 부실과 함께 타사 대비 현저히 저조한 정보보호·보안 관련 투자와 노력 부족이 개인정보 유출사고로 이어졌다고 봤다. 이에 LG유플러스에 대해 개인정보보호법 위반으로 과징금·과태료를 부과하기로 결정했다.

또한 최근 3년간 보호법 위반사실이 존재하는 LG유플러스에 대해 개인정보보호책임자(CPO, Chief Privacy Officer)의 역할과 위상 강화, 개인정보 보호 조직의 전문성 제고, 개인정보 내부관리계획 재정립, 전반적인 시스템 점검 및 취약요소 개선 등을 시정명령하기로 했다.

특히 지난 1월 사고 이후 LG유플러스에서 약속한 개인정보 보호 관련 각종 투자와 2차 피해방지 대책을 차질 없이 이행할 것을 당부했다.

이에 앞서 LG유플러스는 지난 2020년 12월 수탁자에 대한 관리·감독 소홀, 개인정보 보호조치(접근통제) 위반으로 과징금·과태료 처분을 받은 바 있다.

개인정보위는 이번 조치가 평소 다량의 개인정보를 보유·처리하는 사업자가 개인정보 보호 관련 예산·인력의 투입을 비용이 아닌 투자로 파악하는 전기로 삼을 것으로 기대하고 있다. 또 데이터 경제시대 개인정보 보호 관련 최고책임자(CPO) 및 조직이 기업경영에서 차지하는 역할과 중요성에 대해 재고하게 되는 계기가 될 것으로 기대한다고 밝혔다.

LG유플러스는 ""이번 일로 불편을 겪으셨을 고객분들께 다시 한번 고객 숙여 사과의 말씀을 드린다"며 "지난 2월 1000억원 규모의 정보보호투자 계획을 포함한, 전사적 차원의 재발방지 대책을 추진하고 있다. 앞으로 고객분들께 신뢰를 드릴 수 있는, 보안에 강한 회사로 거듭나겠다"고 밝혔다.

☞공감언론 뉴시스 chewoo@newsis.com