개인정보 유출 LGU+에 68억원 과징금

팽동현 2023. 7. 12. 15:51
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기

남석 개인정보보호위원회 조사조정국장이 12일 정부서울청사에서 LG유플러스의 개인정보보호 법규 위반행위에 대한 시정조치 내용을 브리핑하고 있다. 개인정보위 제공

남석 개인정보보호위원회 조사조정국장이 12일 정부서울청사에서 LG유플러스의 개인정보보호 법규 위반행위에 대한 시정조치 내용을 브리핑하고 있다. 개인정보위 제공

올초 대규모 개인정보 유출사고가 발생했던 LG유플러스에 과징금 68억원, 과태료 2700만원이 부과됐다.

개인정보보호위원회는 12일 전체회의를 열고 LG유플러스에 대해 이 같은 처분과 함께 재발 방지를 위한 시정조치를 의결했다. LG유플러스는 지난 1월 해커 공격을 받아 약 60만건(중복 제거 시 29만7117명)의 개인정보가 불법거래 사이트에 노출됐다.

개인정보위와 KISA(한국인터넷진흥원)의 분석 결과, 유출 항목은 휴대전화번호·성명·주소·생년월일·이메일주소·아이디·USIM고유번호 등 26개 항목으로 파악됐다. 회사의 여러 시스템 중 해당 데이터와 가장 일치하는 데이터가 보관된 곳은 부가서비스 관련 업무에 쓰이는 CAS(고객인증시스템)로, 유출시점은 2018년 6월경인 것으로 확인됐다. 위반행위 관련 매출 등을 고려해 제재하는 개인정보보호법 특성상 부가서비스 매출이 이번 처분의 기준이 됐다.

개인정보위는 지난 1월부터 LG유플러스의 개인정보 처리·운영 실태와 개인정보보호법 준수여부를 조사해 왔다. 조사 착수 당시 OS(운영체제)·DMBS(데이터베이스관리시스템)·웹서버·WAS(웹애플리케이션서버) 등 상용 SW(소프트웨어) 대부분이 유출시점 기준으로 단종되거나 기술지원 종료 상태였다. 방화벽·IPS(침입방지시스템)·웹방화벽 등 보안장비가 설치되지 않았거나 보안정책이 제대로 적용되지 않았다.

개발기·검수기·운영기로 나눠진 CAS의 개발기에는 2009년과 2018년 업로드된 악성코드(웹셸)가 삭제되지 않은 채 남아있었고, 그동안 이에 대한 점검이나 차단이 이뤄지지 않았다. 또 운영기에서 관리하는 실제 운영 데이터를 개발기·검수기로 옮겨 테스트를 한 뒤 일부 데이터를 그대로 둬서, 2008년 생성된 개인정보 등 1000만건 이상이 남아 있었다. 개인정보취급자의 접근권한·접속기록을 제대로 관리하지 않아, 대규모 개인정보 추출·전송 기록을 남기지 않고 비정상 행위 여부에 대한 점검·확인도 이뤄지지 않았다.

개인정보위는 LG유플러스가 다수 국민의 개인정보를 처리하는 유·무선 통신사업자로서 엄격한 개인정보 관리가 요구됨에도 불구하고, CAS의 전반적인 관리 부실과 함께 저조한 정보보호·보안 관련 투자 등 노력 부족이 이번 개인정보 유출사고로 이어졌다고 판단했다. 아울러 CPO(개인정보보호책임자) 역할과 위상 강화, 개인정보보호조직 전문성 제고, 개인정보 내부관리계획 재정립, 전반적인 시스템 점검 및 취약요소 개선 등 시정명령을 내리면서 관련 투자와 2차 피해방지 대책을 차질 없이 이행할 것을 당부했다.

개인정보위 관계자는 "시스템 관리의 전반적 부실 및 다수의 법규위반으로 과징금이 부과된 건"이라며 "평소 다량의 개인정보를 보유·처리하는 사업자의 경우 개인정보 보호 관련 예산·인력의 투입을 비용이 아닌 투자로 파악하는 계기가 되길 기대한다"고 밝혔다.

한편 이후 LG유플러스는 사이버보안 강화를 위해 올 상반기까지 약 640억원을 집행했다. 지난 2월 '사이버 보안 혁신 활동'을 공표하며 정보보호 투자 규모를 기존 대비 3배 이상인 1050억원으로 늘리겠다고 밝힌 데 이어 4달 만에 절반 이상의 집행을 확정했다. 총 110가지의 추진 과제 중 주요 투자 부문은 △취약성 점검(약 200억원) △통합 모니터링 관제(약 196억원) △인프라 투자(약 172억원) 등이다.

취약성 점검, 모의해킹 등 방어체계 확보에 투자를 집중하는 한편 신속 대응을 위해 마곡사옥 1층에 통합 관제센터도 구축하고 있다. 하반기 중 전체 방화벽에 대해 정책관리 등을 점검하고, 내년에는 웹방화벽도 이중·삼중으로 구축할 예정이다. △정보보호 전담 인력 강화 △보안 조직 확대·개편 △CISO(최고정보보호책임자) 영입 △정보보호자문위원회 신설 △숭실대 연계 정보보호학과 운영도 추진한다.

LG유플러스 관계자는 "이번 일로 불편을 겪은 고객들에 다시 한 번 고개 숙여 사과드린다"며 "지난 2월 1000억원 규모 정보보호투자 계획을 포함, 전사적 차원의 재발방지 대책을 추진하고 있다. 고객에게 신뢰를 주는, 보안에 강한 회사로 거듭나겠다"고 말했다.팽동현기자 dhp@dt.co.kr

Copyright © 디지털타임스. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
디지털타임스에서 직접 확인하세요. 해당 언론사로 이동합니다.