2018년 심겨진 악성코드 그대로…믿기지 않는 LGU+ 시스템 관리

개인정보유출 과징금 68억…LGU+ “보안 강화할 것”

남석 개인정보보호위원회 조사조정국장이 12일 오후 정부서울청사 합동브리핑룸에서 엘지유플러스(LGU+) 조사 및 제재 심의 결과를 발표하고 있다. 개인정보보호위원회 제공

올해 초 잇따라 발생한 엘지유플러스(LGU+) 가입자 개인정보 유출 및 디도스(Ddos·서비스분산거부공격)에 따른 장애는 “매우 취약한 보안 상태” 탓이었던 것으로 정부 조사 결과 드러났다. 개인정보보호위원회가 12일 7개월가량 조사한 결과와 제재 계획을 발표했는데, 과징금이 68억원으로 국내 기업 중 최대라는 것보다 더 눈길을 끄는 대목은, 3위 이동통신사 엘지유플러스의 가입자 개인정보 보호 수준이 동네 구멍가게보다 못하다는 게 드러난 점이다. 2018년 해킹(서버 불법 침입) 공격을 당하고도 아무도 점검을 하지 않아 고객인증시스템에 당시 심겨진 악성코드가 그대로 남아있었다.

개인정보위는 12일 전체회의를 열어, 고객 개인정보를 유출한 엘지유플러스에 과징금 68억원과 과태료 2700만원을 부과하고, 시스템을 전반적으로 점검하라는 시정명령을 했다. 개인정보위와 한국인터넷진흥원(KISA)의 합동 조사 결과, 엘지유플러스는 2018년 6월 고객인증시스템(CAS)을 해킹당해 고객 개인정보를 유출하고도 올해 초 해커(서버 불법 침입 및 개인정보 불법 탈취자)가 “엘지유플러스 고객정보를 판매한다”고 나설 때까지 알아채지조차 못한 것으로 드러났다고 개보위는 설명했다.

지난 4월 발표된 민·관합동조사단의 특별조사 결과와 마찬가지로, 개인정보위가 파악한 피해 규모는 엘지유플러스 전·현 가입자 29만7117명의 이동전화 번호, 이름, 주소, 생년월일, 이메일 주소 등 개인정보 26가지다. 엘지유플러스는 “인과관계가 명확히 입증되지 않아 과징금 처분 근거로 삼을 수 없다”고 주장해왔으나, 개인정보위는 유출된 개인정보의 암호값 등이 고객인증시스템과 일치하는지를 확인하는 방식으로 엘지유플러스에서 유출됐다는 사실을 증명했다.

개인정보위 조사 결과, 엘지유플러스 고객인증시스템은 방치된 상태였다. 2018년 해킹 공격을 받을 당시, 해당 시스템은 운영체제, 데이터베이스 관리시스템, 웹서버 등 소프트웨어 대부분에 대한 기술지원이 종료된 상태였다. 불법 침입을 감지할 방화벽과 침입방지시스템 등 기본적인 보안시스템조차 없거나 기술지원이 끝난 상태였다. ‘아무도 돌보지 않는’ 시스템에는 2018년 심겨진 악성코드와 오랜시간 방치된 개인정보가 개인정보위 조사 때까지 그대로 남아있었다.

엘지유플러스는 2020년에도 접근통제 등 개인정보 보호조치를 소홀히 하다 과징금 처분을 받았는데, 이번에도 개인정보 취급자의 접근권한과 접속기록조차 제대로 관리하지 않는 등 기본적인 보안수칙을 지키는 것조차 소홀한 것으로 드러났다. 개인정보 유출 사실 인지 시점으로부터 24시간 안에 피해자(가입자)들에게 통지하도록 돼 있는 법 절차도 지키지 않았다.

하지만 개인정보위는 과징금을 ‘통신 관련 매출’이 아닌 ‘부가서비스 매출’을 기준으로 산정해 68억원만 부과해, ‘솜방망이 처벌’이란 뒷말도 나온다. 개인정보 유출 건으로 국내 기업에 부과된 과징금 액수로는 최대지만, 개인정보보보호법 조항대로 ‘통신 관련 매출’을 기준으로 과징금을 산정하면 금액이 더 커질 수 있다는 것이다. 지난해 엘지유플러스의 ‘통신 관련 매출’은 10조4673억원에 달했다. 개인정보위는 “해킹을 당한 고객인증시스템이 부가서비스 장비라서”라고 설명했다.

개인정보위는 “엘지유플러스가 국민 다수의 개인정보를 처리하는 통신사업자이면서도 보안 투자가 현저히 부족하다”며 “개인정보호호책임자(CPO)의 위상 강화, 보안 조직의 전문성 제고, 시스템 점검 등에 나서라”는 시정명령도 했다.

엘지유플러스는 개인정보위 전체회의 뒤 입장문을 통해 “이번 사태로 불편을 겪었을 고객들에게 다시 한번 고개 숙여 사과의 말씀을 드린다”며 “1천억원 규모의 정보보호투자 계획을 포함해 전사적 차원의 재발방지 대책을 추진해, 보안에 강한 회사로 거듭날 것”이라고 밝혔다.

임지선 기자 sun21@hani.co.kr