'또 유출사고' LG U+, 개인정보보호 역량 도마 위
2023.01.11 16:53
수정 : 2023.01.11 16:53기사원문
11일 통신 업계에 따르면 LG유플러스는 지난 10일 고객 개인정보가 유출된 사실을 홈페이지를 통해 공지했다. 18만 유·무선 및 IPTV 고객의 금융 정보를 제외한 이름, 생년월일, 전화번호 등 개인정보가 유출됐다는 설명이다.
LG유플러스가 유출 사실을 인지한 날짜는 지난 2일이다. 이튿날인 3일 경찰 사이버수사대와 한국인터넷진흥원(KISA) 등 수사·정부기관에 수사를 의뢰했다. 결과적으로 유출 최초 인지 시점과 공지 시점 간 일주일가량 시간이 소요된 셈이다.
하지만 정부가 지난 2016년 제정한 개인정보 보호 대응 매뉴얼에 따르면 개인정보보호법에 따라 유출 사실을 인지한 시점부터 24시간 내 고객에게 통지해야 한다. 대규모 유출로 24시간 이내 전체 통지가 기술적으로 어려운 경우에는 홈페이지 팝업창 등을 통해 방문 이용자가 모두 알 수 있도록 당시까지 파악된 유출 사실을 등을 게시한 후 추가적인 개별 통지를 진행해야 한다.
다만 유출된 개인정보 확산 및 추가 유출 방지를 위해 긴급 조치가 필요하다고 인정되는 경우에만 조치 후 5일 내 정보주체에 알릴 수 있다고 명시하고 있다. 대신 메뉴얼은 "긴급조치가 필요하다고 인정되지 않는 경우에는 3000만원 이하의 과태료가 부과될 수 있다"고 명시하고 있다. 관계 당국의 유권해석이 필요한 지점이다.
LG유플러스 측은 일주일 간 간극에 대해 "불명확한 데이터를 확인하고, 고객을 특정하는 데 시간이 걸렸다"고 해명했다.
개인정보보호위원회는 이날 개인정보보호법 위반 여부 파악을 위해 현장조사를 진행하면서 "위반사항이 확인되면 엄정히 행정처분하고, 재발방지 대책 등을 점검할 계획"이라고 전했다.
이런 가운데 KISA 정보보호 공시 종합 포털에 따르면 지난해 기준 LG유플러스의 정보보호부문 투자액은 291억8660만원이다. △SK텔레콤(SK브로드밴드와 별도) 626억5700만원 △KT 1021억1000만원에 비해 낮다. 정보보호부문전담인력(내·외부 포괄)은 △SK텔레콤 196명 △KT 335명 △LG유플러스 91명으로 파악됐다.
이미 LG유플러스는 2021년과 2022년 개인정보보호위원회로부터 두차례 과태료를 부과받은 바 있다. 임직원·고객 개인정보를 관리하는 데 있어 안전조치가 미흡했다는 이유에서다.
LG유플러스는 이번 사태에 대해 "해당 고객정보의 유출 시점과 경위를 파악하기 위해 수사기관 및 정부기관의 조사에 적극 협조하고 있으며 모니터링 시스템을 강화하고, 조사결과에 따라 재발 방지 대책을 마련할 예정이다"고 했다.
jhyuk@fnnews.com 김준혁 기자