개인정보 29만건 유출 LG유플러스에 과징금 68억

1월 발생 개인정보유출 사건 처리 결과
개보위 부과 사례 중 국내기업 최고액

서울 용산구 LG유플러스 용산 사옥. 연합뉴스

개인정보보호위원회(개보위)가 대규모 고객 개인정보 유출 사고를 낸 LG유플러스에 과징금과 과태료 68억여 원을 부과했다. 개보위가 국내 기업에 부과한 과징금 중 최고액이다. 외국 기업 포함 최고액은 지난해 구글에 부과한 692억원이다.

개인정보보호위원회는 12일 전체회의를 열고 개인정보 유출 사고가 발생한 LG유플러스 제재 안건을 의결했다.

LG유플러스는 올해 1월 해커의 공격을 받았고, 여기서 유출된 고객 개인정보 약 60만 건이 불법거래 사이트에 공개됐다. 개보위가 민관 합동조사단 및 경찰과 함께 조사한 결과, 유출이 확인된 개인정보는 총 29만7,117건(중복 제외)이었다. 유출 항목은 △휴대전화 번호 △성명 △주소 △생년월일 △이메일 주소 △아이디 △USIM고유번호 등 26개 항목이다.

개인정보는 LG 유플러스가 데이터를 보관하는 고객인증시스템(CAS)에서 유출된 것으로 조사됐다. 개보위 확인 결과 CAS 대부분 2018년 이후 기술지원이 종료됐고, 방화벽이나 침입방지시스템, 웹방화벽 등 보안장비가 설치되지 않았거나, 설치됐더라도 보안이 제대로 적용되지 않은 상태였다. 또 2009년에 설치됐던 악성코드가 현재까지 남아 있을 정도로 허술했다.

이 밖에도 CAS에는 2008년 이후 생성된 고객 개인정보 1,000만 건이 아직 남아있는 상태였다. 개보위는 "LG유플러스가 대량의 개인정보를 관리하면서도 비정상 행위 여부에 대한 점검과 확인이 안 되는 등 관리 통제도 부실한 상태였다"고 설명했다.

고학수 개인정보보호위원회 위원장이 12일 정부서울청사에서 열린 제12회 개인정보보호위원회 전체회의에서 개회를 알리며 의사봉을 두드리고 있다. 개인정보보호위원회 제공

한편 개보위는 이날 SK그룹의 채용종합역량검사를 관리·감독하던 업체 BSC, SK계열사, 인크루트도 제재했다. BSC는 시스템의 관리자 페이지 접근통제 조사를 미흡하게 해 응시자 개인정보 1,679건을 유출하는 사고를 빚었다. 또 보관기간이 지난 응시자 개인정보를 파기하지 않은 사실도 적발됐다. 이에 개보위는 BSC에는 시정명령을, BSC에 대한 관리·감독을 미흡하게 한 SK이노베이션 등 9개 계열사와 SK수펙스추구협의회(SK그룹 최고의사협의기구)에는 과태료 2,400만원과 시정명령을 내렸다.

실시간 취업정보 사이트인 인크루트는 해커의 크리덴셜 스터핑 공격(사전 확보한 아이디와 비밀번호 정보를 무작위로 대입해 로그인하는 공격)을 당했음에도 대규모 로그인 시도 차단 정책을 실행하지 않았다. 인크루트에는 과징금 7,060만원과 과태료 360만원이 부과됐다.

박민식 기자 bemyself@hankookilbo.com