무려 30만건의 개인정보 유출사고를 낸 LG유플러스에 개인정보보호위원회가 과징금 68억원을 부과했다. 개인정보위가 그간 국내 기업에 부과한 과징금으로는 최대 금액이다.
LG유플러스는 2018년 6월 해커의 사이버 공격을 받아 개인정보 약 30만건을 유출했다. 그러나 이런 사실은 회사 측의 뒤늦은 인지로 올해 1월에서야 정식 신고돼 알려졌다.
LGU+ 소명에 부가서비스 매출로 과징금 산정
개인정보보호위원회는 LG유플러스에 대해 개인정보보호법 제21조 개인정보의 파기, 제20조 안전조치의무, 제39조의4 개인정보 유출 등의 통지·신고를 모두 위반했다고 보고, 과징금 68억원과 과태료 2700만원을 부과했다고 12일 밝혔다.
개인정보위는 그간 민관 합동조사단·경찰 등과 협조해 조사를 진행했다. 개인정보위와 한국인터넷진흥원(KISA)이 이번 사고의 피해 규모를 분석한 결과, 유출이 확인된 개인정보는 중복을 제외하고도 29만7117건에 달했다. 유출항목은 △휴대전화번호 △성명 △주소 △생년월일 △이메일주소 △아이디 △유심(USIM)고유번호 등 26개다.
이들 데이터의 유출시점은 2018년 6월경으로 확인됐다.
그러나 LG유플러스는 한참 뒤인 올해 1월에서야 이를 인지하고 경찰청 사이버수사대와 KISA, 개인정보보호위원회 등 유관기관에 이를 신고했다. 이 역시도 KISA가 제보를 통해 해당 사실을 인지한 후 LG유플러스 측에 이를 먼저 알린 이후였다.
유출 데이터는 LG유플러스 내 여러 시스템 중 고객인증시스템(CAS)과 가장 일치했다. 이는 LG유플러스의 일부 부가서비스 제공과정에서 고객인증과 부가서비스 가입‧해지 기능을 제공하는 시스템이다.
이에 따라 이번 과징금은 LG유플러스의 부가서비스 관련 매출액을 기준으로 산정했다는 게 개인정보위의 설명이다. 현행 개인정보보호법은 개인정보보호 위반행위에 대해 관련 매출의 3% 이하로 과징금을 부여하고 있다.
김해숙 개인정보위 조사2과장은 이날 정부서울청사에서 관련 브리핑 이후 "(과태료 산정 기준) 관련 매출액에 대한 쟁점이 있었지만 (LG유플러스 측에서) CAS가 부가서비스에 인증하는 것이라고 소명을 했기 때문에 부가서비스 관련 매출액을 기준으로 잡았다"고 설명했다.
악성코드에 개인정보 방치…"총체적 부실"
개인정보위의 이번 조사 결과, LG유플러스는 조사가 시작된 올해 1월까지도 CAS 서비스 운영 인프라와 보안 환경이 해커 등의 불법 침입에 매우 취약한 상황이었던 것으로 드러났다.
CAS의 운영체제(OS), 데이터베이스 관리시스템(DBMS), 웹서버(WEB), 웹 애플리케이션 서버(WAS) 등 상용 소프트웨어 대부분이 유출이 발생한 것으로 추정되는 2018년 6월 기준으로 단종되거나 기술지원이 종료된 상태였다.
또한 불법 침입과 침해사고 방지에 필요한 침입차단시스템(방화벽), 침입방지시스템(IPS), 웹방화벽 등 기본적인 보안 장비를 설치하지 않았다. 설치 중인 장비들에도 보안정책이 제대로 적용되지 않았고, 일부는 기술지원이 중단된 상태였다.
특히 CAS 개발기에는 2009년과 2018년에 업로드한 악성코드(웹셸)가 올해 1월까지 삭제되지 않은 채 남아 있었다. '웹셸'에 대한 점검이나 IPS의 웹셸 탐지‧차단 정책 또한 적용되지 않았다.
더불어 LG유플러스는 CAS 운영기에서 관리하는 실제 운영 데이터(개인정보 포함)를 개발기, 검수기로 옮겨 테스트를 진행한 이후, 일부 데이터를 방치했다. 이런 배경으로 2008년에 생성한 정보 등 1000만건 이상의 개인정보가 조사 시점까지 남아 있었다. 이 회사는 CAS를 개발기, 검수기, 운영기로 나눠서 운영하고 있다.
이처럼 다량의 개인정보를 관리하면서도, 개인정보취급자의 접근권한과 접속기록을 제대로 관리하지 않은 점도 발각됐다. 대규모 개인정보를 추출‧전송한 기록을 남기지 않고 비정상 행위 여부에 대한 점검‧확인이 안 되는 등 관리 통제도 부실한 상황이었다.
남석 개인정보위 조사조정국장은 이날 브리핑에서 "LG유플러스는 국민 다수의 개인정보를 처리하는 유‧무선 통신사업자로서 엄격한 개인정보 관리가 요구됨에도 CAS의 전반적인 관리 부실, 타사 대비 현저히 저조한 정보보호‧보안 관련 투자 등으로 개인정보 유출사고를 불렀다"고 지적했다.
개인정보위는 또한 LG유플러스가 최근 3년간(2020년 12월) 개인정보보호법 위반 사실이 있는 만큼 개인정보보호책임자(CPO)의 역할과 위상 강화, 개인정보 보호 조직의 전문성 제고, 개인정보 내부관리계획 재정립, 전반적인 시스템 점검, 취약요소 개선 등을 시정명령 하기로 했다.
동시에 지난 1월 사고 이후 회사가 약속한 개인정보 보호 관련 각종 투자와 2차 피해방지 대책을 차질 없이 이행할 것을 당부했다.
LG유플러스는 이날 제재에 대해 "이번 일로 불편을 겪었을 고객들에게 다시 한번 사과의 말씀을 드린다"며 "현재 1000억원 규모의 정보보호투자 계획을 포함한, 전사적 차원의 재발방지 대책을 추진하고 있다"고 밝혔다.
