개인정보위, ‘30만 개인정보 유출’ LG유플러스에 과징금 68억원

고학수 개인정보보호위원회 위원장이 12일 오전 서울 종로구 정부서울청사에서 제12회 개인정보보호위원회 전체회의 개회를 알리며 의사봉을 두드리고 있다.(개인정보보호위원회 제공)

개인정보보호위원회가 12일 전체회의를 열고 개인정보 유출사고가 발생한 LG유플러스에 과징금 68억원과 과태료 2700만원을 부과하기로 의결했다.

개인정보위는 지난 1월부터 해커에 의해 불법거래 사이트에 개인정보 약 60만건이 공개된 LG유플러스를 대상으로 민관 합동조사단·경찰 등과 조사를 진행했다.

조사 결과 유출이 확인된 개인정보는 중복을 제거하면 총 29만7117건으로 나타났다. 유출 항목은 휴대전화번호·성명·주소·생년월일·이메일주소·아이디·USIM고유번호 등 26개다. 유출된 데이터와 가장 일치하는 데이터를 보관하는 시스템은 고객인증시스템(CAS)으로, 유출시점은 2018년 6월께인 것으로 확인됐다. CAS는 LG유플러스 부가 서비스 제공 과정에서 고객인증과 부가서비스 가입·해지 기능을 제공하는 시스템이다.

개인정보위는 조사가 시작된 지난 1월까지 LG유플의 CAS 서비스 운영 인프라와 보안 환경은 해커 등의 불법침입에 취약한 상황이었다고 설명했다. 상용 소프트웨어 대부분이 유출이 발생한 것으로 추정되는 2018년 6월 기준 단종되거나 기술지원이 종료된 상태였다.

또 침입차단시스템(방화벽), 침입방지시스템(IPS), 웹방화벽 등 기본적인 보안장비가 설치되지 않았거나 설치 중이더라도 보안정책이 제대로 적용되지 않았다. 일부는 기술지원이 중단된 상태였다. 게다가 CAS 개발기에 2009년과 2018년에 업로드된 악성코드(웹셸)가 올해 1월까지 삭제되지 않고 남아 있었다.

개인정보위는 LG유플러스에 대해 개인정보보호책임자(CPO) 역할과 위상 강화, 개인정보 보호 조직의 전문성 제고, 개인정보 내부관리계획 재정립, 전반적인 시스템 점검 및 취약요소 개선 등을 시정명령도 내렸다.

LG유플러스 관계자는 “이번 일로 불편을 겪으셨을 고객분들께 다시 한번 고객 숙여 사과의 말씀을 드린다”면서 “지난 2월 1000억원 규의 정보보호투자 계획을 포함한 전사적 차원의 재발방지 대책을 추진하고 있다”고 말했다. 그러면서 “앞으로 고객분들께 신뢰를 드릴 수 있는, 보안에 강한 회사로 거듭나겠다”고 덧붙였다.

개인정보위는 또 개인정보보호 법규를 위반한 SK(계열사 및 수펙스추구협의회)에 과태료 2400만원을, 인크루트엔 과징금 7060만원과 과태료 360만원을 부과했다.

조재학 기자 2jh@etnews.com