'개인정보 유출' LGU+에 과징금 68억원…"국내 기업 중 최대"
2023.07.12 14:25
수정 : 2023.07.12 14:35기사원문
개인정보보호위원회는 12일 전체회의를 개최하고 개인정보 유출사고가 발생한 LG유플러스에 대해 과징금 68억원과 함께 과태료 2700만원을 부과하고 재발 방지를 위한 시정조치안을 의결했다.
개인정보위는 지난 1월 해커에 의해 불법거래 사이트에 개인정보 약 60만건(중복 제거 시 약 30만건)이 공개된 LG유플러스에 대해 민관 합동조사단, 경찰 등고 협조해 조사를 진행해 왔다.
유출 항목은 휴대 전화번호, 성명, 주소, 생년월일, 이메일주소, 아이디, 유심 고유번호 등 26개 항목이다. 유출된 데이터와 가장 일치하는 데이터를 보관하는 시스템은 고객인증시스템(CAS)로 파악되며, 유출 시점은 2018년 6월경으로 조사됐다.
위반 사항은 △CAS 서비스 운영 인프라·환경 취약 △운영 데이터 테스트 진행 후 방치 △개인정보취급자의 접근권한·접속권한 관리 미비, 관리 통제 부실 등이다.
LG유플러스는 CAS 운영체제(OS) 등 상용 소프트웨어 기술을 2018년 6월 이후 지원하지 않았다. 불법침입 방지 시스템, 보안장비도 미비했던 것으로 조사됐다.
아울러 CAS 개발 시점인 2009년과 2018년에 업로드된 악성코드(웹셸)가 올해 1월까지 삭제하지 않았다. 웹셸에 대한 점검이나 침입방지 시스템(IPS)의 웹셸 탐지·차단 정책 또한 적용하지 않고 있었다.
개인정보위는 "LG유플러스는 다수 국민의 개인정보를 처리하는 유무선 통신사업자로서 엄격한 개인정보 관리가 요구됨에도 불구하고, CAS 시스템의 전반적인 관리 부실과 함께 타사 대비 현저히 저조한 정보보호·보안 관련 투자와 노력 부족이 금번 개인정보 유출사고로 이어졌다고 판단했다"며 "개인정보위는 LG유플러스에 대해 보호법 위반으로 과징금과 과태료를 부가하기로 결정했다"고 설명했다.
아울러 개인정보위는 최근 3년 간 보호법 위반사실이 존재하는 LG유플러스에 대해 개인정보보호책임자(CPO)의 역할과 위상 강화, 개인정보 보호 조직 전문성 제고, 내부관리계획 재정립, 전반적인 시스템 점검 및 취약요소 개선 등을 시정명령하기로 했다.
개인정보위는 "현재까지 지속된 해당 시스템 관리의 전반적 부실 및 다수의 법규위반으로 과징금이 부과된 건으로, 평소 다량의 개인정보를 보유·처리하는 사업자의 경우 개인정보 보호 관련 예산·인력의 투입을 비용이 아닌 투자로 파악하는 전기가 될 것으로 기대한다"며 "데이터 경제시대 개인정보 보호 관련 최고책임자(CPO) 및 조직이 기업경영에서 차지하는 역할과 중요성에 대해 재고하게 되는 계기가 될 것으로 기대한다"고 전했다.
LG유플러스는 이번 유출 사태에 대해 다시 한번 사과하면서 재발방지 대책을 추진하겠다고 재차 강조했다.
LG유플러스 측은 "이번 일로 불편을 겪었을 고객들에게 다시 한번 고개 숙여 사과의 말씀을 드린다"며 "당사는 지난 2월 1000억원 규모의 정보보호 투자 계획을 포함한 전사적 차원의 재발방지 대책을 추진하고 있다. 앞으로 고객들에게 신뢰를 드릴 수 있는 보안에 강한 회사로 거듭나겠다"고 했다.
jhyuk@fnnews.com 김준혁 기자