최근 18만 고객정보 유출
정부 메뉴얼 미흡 여부, 유권해석 필요한 지점
통신사 중 정보보호 인력·투자 가장 적어
이미 지난해 개보위로부터 두차례 과태료
정부·조사기관 현장조사 착수
11일 통신 업계에 따르면 LG유플러스는 지난 10일 고객 개인정보가 유출된 사실을 홈페이지를 통해 공지했다. 18만 유·무선 및 IPTV 고객의 금융 정보를 제외한 이름, 생년월일, 전화번호 등 개인정보가 유출됐다는 설명이다.
LG유플러스가 유출 사실을 인지한 날짜는 지난 2일이다. 이튿날인 3일 경찰 사이버수사대와 한국인터넷진흥원(KISA) 등 수사·정부기관에 수사를 의뢰했다. 결과적으로 유출 최초 인지 시점과 공지 시점 간 일주일가량 시간이 소요된 셈이다.
하지만 정부가 지난 2016년 제정한 개인정보 보호 대응 매뉴얼에 따르면 개인정보보호법에 따라 유출 사실을 인지한 시점부터 24시간 내 고객에게 통지해야 한다. 대규모 유출로 24시간 이내 전체 통지가 기술적으로 어려운 경우에는 홈페이지 팝업창 등을 통해 방문 이용자가 모두 알 수 있도록 당시까지 파악된 유출 사실을 등을 게시한 후 추가적인 개별 통지를 진행해야 한다.
다만 유출된 개인정보 확산 및 추가 유출 방지를 위해 긴급 조치가 필요하다고 인정되는 경우에만 조치 후 5일 내 정보주체에 알릴 수 있다고 명시하고 있다. 대신 메뉴얼은 "긴급조치가 필요하다고 인정되지 않는 경우에는 3000만원 이하의 과태료가 부과될 수 있다"고 명시하고 있다. 관계 당국의 유권해석이 필요한 지점이다.
LG유플러스 측은 일주일 간 간극에 대해 "불명확한 데이터를 확인하고, 고객을 특정하는 데 시간이 걸렸다"고 해명했다.
개인정보보호위원회는 이날 개인정보보호법 위반 여부 파악을 위해 현장조사를 진행하면서 "위반사항이 확인되면 엄정히 행정처분하고, 재발방지 대책 등을 점검할 계획"이라고 전했다.
|
이미 LG유플러스는 2021년과 2022년 개인정보보호위원회로부터 두차례 과태료를 부과받은 바 있다. 임직원·고객 개인정보를 관리하는 데 있어 안전조치가 미흡했다는 이유에서다.
LG유플러스는 이번 사태에 대해 "해당 고객정보의 유출 시점과 경위를 파악하기 위해 수사기관 및 정부기관의 조사에 적극 협조하고 있으며 모니터링 시스템을 강화하고, 조사결과에 따라 재발 방지 대책을 마련할 예정이다"고 했다.
jhyuk@fnnews.com 김준혁 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지