[일문일답] '개인정보 유출' LG유플러스, 과징금 역대 최다 왜?

개인정보위, 29만건 고객정보 유출 확인...관련 매출액 3% 이내 과징금 부과
개인정보 보호 관련 CPO 조직 강화 등 시정명령 조치

[아이뉴스24 박진영 기자] 개인정보보호위원회는 12일 LG유플러스에 대해 고객인증시스템(CAS)의 안전조치 의무 위반 등으로 과징금 68억원과 과태료 2천700만원 부과했다. 이는 국내 기업 중 역대 최대 규모다.

고학수 개인정보보호위원회 위원장이 12일 오전 서울 종로구 정부서울청사에서 제12회 개인정보보호위원회 전체회의 개회를 알리며 의사봉을 두드리고 있다. [사진=개인정보보호위원회]

개인정보위에 따르면, 유출이 확인된 개인정보는 총 29만 7천117건으로 유출 항목은 전화번호·성명·주소·생년월일·이메일주소·아이디·유심 고유번호 등 26개의 항목이다. 개인정보가 유출된 곳은 LG유플러스의 고객인증시스템(CAS)으로 유출시점은 2018년 6월 경으로 확인됐다.

남석 개인정보위 조사조정국장은 "관련 매출액 3% 이내로 과징금이 산정됐다"며 "최근 3년간 보호법 위반사실이 존재하는 LG 유플러스에 대해 개인정보보호책임자(CPO) 역할 강화, 개인정보 내부관리계획 재정립 등 시정명령을 했다"고 밝혔다.

남석 개인정보보호위원회 조사조정국장이 12일 오후 정부서울청사 3층 합동브리핑룸에서 'LG유플러스의 개인정보보호 법규 위반행위에 대한 시정조치'건을 브리핑 하고 있다. [사진=개인정보보호위원회]

다음은 남석 개인정보위 조사조정국장과의 일문일답.

Q>개인정보 파기, 안전조치 의무 위반 등으로 과징금 68억원을 부과했다. 구체적인 산정 기준이 어떻게 되나?

A> 통신 매출이 아닌 부가서비스 관련 매출액을 기반으로 과징금을 부과했다. 개인정보보호법에 따라 관련 매출액의 3% 이하로 과징금을 산정한다. LG유플러스의 부가서비스 관련 인증시스템인 '고객인증시스템'에서 개인정보 유출이 발생한 것으로 확인됐다.

Q> LG유플러스가 1월 2일 유출 사실을 인지하고 3일 신고한 것으로 알려졌다. 유출 신고 24시간 초과한 건데 신고 의무도 위반한 것 아닌가

A>한국인터넷진흥원(KISA)이 최초 인지하고 이를 LG 유플러스에 통보했다. LG유플러스는 1월 3일 이를 확인하고 바로 신고했다. 유출 시점은 2018년 6월 경이나 LG유플러스가 유출 사실을 인지한 후 바로 신고했기 때문에 신고 위반은 아니다. 다만 유출 통지가 24시간 내에 이뤄지지 않아 유출 통지 위반 사항이 있었다.

Q> 최초 신고 후 한달 동안 추가 유출 신고했는데 추가 유출건도 과징금에 반영된건가

A> 과징금은 유출 건수로 부과하는게 아니라 위반 조항에 따라 산정된다. LG 유플러스는 ▲개인정보처리시스템 접근권한 부여·변경·말소내역 보관 소홀 ▲침입차단·참지시스템 운영 소홀 ▲비밀번호 작성 규칙 미적용 ▲접속기록 보존·관리 소홀 등 안전조치 의무를 위반했다.

Q>해커가 당시 개인정보 3천만건을 가지고 있다고 주장했다. 이후 이와 관련해 개인정보 유출이 확인되면 다시 제재 심의할 수 있나

A>현재 29만건 기준에서 조금 더 확인된다고 추가 과징금을 부과하진 않는다. 과징금 산정 시 중대성 판단 기준은 전체 개인정보의 5%다. 다만 해커 주장대로 3천만건에 달하는 개인정보가 유출됐다면 LG유플러스 전체 고객에 해당하기 때문에 중대성 여부를 다시 고려할 수 있다.

/박진영 기자(sunlight@inews24.com)