개인정보위, LGU+ 개인정보 30만건 유출 책임 물어 과징금 68억 부과

[마이데일리 = 구현주 기자] 개인정보보호위원회가 LG유플러스에 개인정보 30만건 유출에 대한 책임을 물어 과징금 68억원과 함께 과태료 2700만원을 부과했다.

12일 개인정보위는 전체회의를 개최해 이같이 결정하고 LGU+에 대해 전반적인 시스템 점검과 취약부분 개선 등 재발 방지를 위한 시정조치(안)을 의결했다.

앞서 개인정보위는 민관합동조사단, 경찰 등과 협조해 LGU+ 개인정보 유출건을 조사했다. 지난 1월 해커에 의해 불법거래 사이트에 LGU+ 고객 개인정보 30만건이 공개됐기 때문이다.

그 결과 지난 2018년 6월경 총 29만7117건 개인정보가 유출됐다. 유출항목은 휴대전화번호·성명·주소·생년월일·이메일주소·아이디·유심고유번호 등 26개다.

우선 고객인증시스템(CAS) 서비스 운영 인프라와 보안 환경이 해커 등 불법 침입에 매우 취약했다. 상용 소프트웨어 대부분이 유출 당시 기준으로 단종되거나 기술지원이 종료됐다. 침입차단시스템(방화벽), 침입방지시스템(IPS), 웹방화벽 등 기본적인 보안장비가 설치되지 않았거나 설치 중이더라도 보안정책이 제대로 적용되지 않았다.

LGU+는 CAS를 개발기, 검수기, 운영기로 나눠서 운영한다.

CAS 개발기에 2009년, 2018년 업로드된 악성코드(웹셸)가 올해 1월까지 삭제되지 않고 남아 있었다.

또한 LGU+는 CAS 운영기에서 관리하는 실제 운영 데이터(개인정보 포함)를 개발기, 검수기로 옮겨 테스트를 진행한 후, 일부 데이터를 방치했다. 그 결과 올해 1월까지 2008년 생성된 1000만건 이상 개인정보가 그대로 남아 있었다.

개인정보위 관계자는 “LGU+는 개인정보취급자 접근권한과 접속기록을 제대로 관리하지 않아, 대규모 개인정보를 추출 전송한 기록을 남기지 않고 비정상 행위 여부에 대한 점검 확인이 안되는 등 관리 통제도 부실한 상황”이라며 “전반적인 관리 부실과 함께 타사 대비 현저히 저조한 정보보호 보안 관련 투자와 노력부족이 개인정보 유출사고로 이어졌다”고 말했다.

[사진 = 구현주 기자]- ⓒ마이데일리(www.mydaily.co.kr). 무단전재&재배포 금지 -