‘개인정보 유출’ LGU+, 과징금 68억원 부과받아

개보위, LG유플에 과징금·과태료 부과 및 시정명령
“고객인증 시스템 관리 부실·저조한 보안투자가 원인”

<출처=연합뉴스>

올해 초 개인정보 유출사고가 발생했던 LG유플러스가 과징금 68억원을 부과 받았다.

12일 개인정보보호위원회는 전체회의를 개최하고 LG유플러스에 대해 과징금 68억원과 함께 과태료 2700만원을 부과하고, 전반적인 시스템 점검 및 취약부분 개선 등 재발 방지를 위한 시정조치(안)을 의결했다.

개보위는 LG유플러스가 다수 국민의 개인정보를 처리하는 유‧무선 통신사업자로서 엄격한 개인정보 관리가 요구됨에도 불구하고, 고객인증(CAS) 시스템의 전반적인 관리 부실과 함께 타사 대비 현저히 저조한 정보보호‧보안 관련 투자와 노력 부족이 이번 개인정보 유출사고로 이어졌다며 과징금과 과태료 부과 배경을 설명했다.

개보위는 지난 1월 해커에 의해 불법거래 사이트에 개인정보 약 60만건(중복 제거시 약 30만건)이 공개된 LG유플러스에 대해 그동안 민관 합동조사단·경찰 등과 협조해 조사를 진행해왔다.

개보위와 한국인터넷진흥원(KISA)이 분석한 결과, 유출이 확인된 개인정보는 총 29만7117건(중복제거시)으로 유출 항목은 휴대전화번호·성명·주소·생년월일·이메일주소·아이디·USIM고유번호 등 26개의 항목이었다. 또한 LG유플러스의 여러 시스템 중 유출된 데이터와 가장 일치하는 데이터를 보관하는 시스템이 고객인증시스템(CAS)이라는 것과 유출시점이 2018년 6월 경인 것으로 확인됐다.

개보위와 KISA가 확인한 LG유플러스의 주요 위반사항은 올해 1월까지 고객인증시스템(CAS)의 서비스 운영 인프라와 보안 환경은 해커 등의 불법침입에 매우 취약한 상황이었다는 점이다.

고객인증시스템(CAS)의 운영체제(OS), 데이터베이스 관리시스템(DBMS), 웹서버(WEB), 웹 어플리케이션 서버(WAS) 등 상용 소프트웨어 대부분이 유출이 발생한 것으로 추정되는 2018년 6월 기준으로 단종되거나 기술지원이 종료된 상태였다.

또 불법침입과 침해사고 방지에 필요한 침입차단시스템(방화벽), 침입방지시스템(IPS), 웹방화벽 등 기본적인 보안장비가 설치되지 않았거나 설치 중이더라도 보안정책이 제대로 적용되지 않았고, 일부는 기술지원이 중단된 상태였다.

특히 고객인증시스템(CAS) 개발기에 2009년과 2018년에 업로드된 악성코드(웹셸)가 올해 1월까지 삭제되지 않고 남아 있었고, 웹셸에 대한 점검이나 IPS의 웹셸 탐지‧차단 정책은 적용되지 않고 있었다.

이 외에도 고객인증시스템(CAS) 운영기에서 관리하는 실제 운영 데이터(개인정보 포함)를 개발기, 검수기로 옮겨 테스트를 진행한 후 일부 데이터를 방치해 2008년에 생성된 정보 등 1000만건 이상의 개인정보가 조사 시점까지 남아 있었고, 다량의 개인정보를 관리하면서도 개인정보취급자의 접근권한과 접속기록을 제대로 관리하지 않았다.

개보위는 과징금 부과와 함께 최근 3년간 보호법 위반사실이 존재하는 LG유플러스에 대해 개인정보보호책임자(CPO)의 역할과 위상 강화, 개인정보 보호 조직의 전문성 제고, 개인정보 내부관리계획 재정립, 전반적인 시스템 점검 및 취약요소 개선 등을 시정명령 하기로 했다.

개보위는 “이번 조치는 2018년 6월경 발생한 유출로 분석됐으나, 현재까지 지속된 해당 시스템 관리의 전반적 부실 및 다수의 법규위반으로 과징금이 부과된 건”이라며 “평소 다량의 개인정보를 보유·처리하는 사업자의 경우, 개인정보 보호 관련 예산·인력의 투입을 비용이 아닌 투자로 파악하는 전환점이 될 것으로 기대한다”고 말했다.

[CEO스코어데일리 / 김동일 기자 / same91@ceoscore.co.kr]

심층분석

CEO's PICK