개인정보위, 30만 개인정보 유출 LG유플러스에 과징금 68억원

[한국금융신문=정은경 기자] 지난 1월 약 30만건의 개인정보를 유출한 LG유플러스(대표 황현식닫기황현식광고보고 기사보기)가 국내 기업 중 과징금 최고액을 부과 받았다.

개인정보보호위원회(위원장 고학수)는 12일 전체회의를 열고 개인정보 29만건의 개인정보를 유출한 LG유플러스에 과징금 68억원의과 과태료 2700만원을 부과했다. 이는 개인정보보호위원회가 국내 기업을 대상으로 추징한 역대 과징금 중 최고액이다.

또한 개인정보위는 LG유플러스에 전반적인 시스템 점검과 취약부분 개선 등 재발 방지를 위한 시정조치도 의결했다.

LG유플러스는 지난 1월 해커에 의해 약 60만건의 개인정보가 유출됐음을 확인했다. 중복을 제거하면 29만7117건에 대한 개인정보가 해커의 손에 들어갔다.

개인정보보호위원회가 한국인터넷진흥원과 개인정보 유출 사건을 조사한 결과 정보가 유출된 항목은 휴대전화번호, 성명, 주소, 생년월일, 이메일주소, 아이디, 유심(USIM) 고유번호 등 26개 항목이다.

LG유플러스의 여러 시스템 중 유출된 데이터와 가장 일치하는 데이터를 보관하는 시스템은 고객인증시스템(CAS)인 점과 유출시점은 2018년 6월경으로 추정된다.

개인정보보호위원회는 LG유플러스의 개인정보 보호법 준수여부 등을 조사한 결과, 고객인증시스템의 서비스 운영 인프라와 보안 환경이 해커 등의 불법침입에 매우 취약한 상황이었다고 판단했다.

고객인증시스템의 운영체제와 데이터베이스 관리시스템, 웹서버, 웹 애플리케이션 서버 등 상용 소프트웨어 대부분이 유출 발생 시점으로 추정되는 2018년 6월 단종 또는 기술지원이 종료된 상태였기 때문이다.

특히 고객인증시스템이 개발된 2009년과 2018년에 업로드된 악성코드가 2023년 1월까지 삭제되지 않고 남아 있었다. 또 2008년 이후 생성된 테스트용 고객 개인정보 1000만건도 지난 1월 개인정보 조사 시점까지 남아 있는 것으로 확인됐다. 테스트용 정보는 테스트 직후 반드시 삭제해야 한다.

개인정보보호위원회는 “LG유플러스는 다량의 개인정보를 관리하면서도, 개인정보취급자의 접근권한과 접속기록을 제대로 관리하지 않아, 대규모 개인정보를 추출‧전송한 기록을 남기지 않고 비정상 행위 여부에 대한 점검‧확인이 안되는 등 관리 통제도 부실한 상황”이라고 지적했다.

이어 “다수 국민의 개인정보를 처리하는 유·무선 통신사업자인 LG유플러스가 엄격한 개인정보 관리가 요구됨에도 관리 부실 및 저조한 정보보호 관련 투자와 노력이 부족해 과징금과 과태료 부과를 결정했다”고 설명했다.

이외에도 개인정보보호위원회는 개인정보보호책임자(CPO)의 역할과 위상 강화, 개인 정보 보호조직의 전문성 제고, 개인정보 내부 관리계획 재정립, 전반적인 시스템 점검 및 취약 요소 개선도 당부했다.

LG유플러스는 이번 처분에 대해 “지난 2월 1000억원 규모의 정보보호투자 계획을 포함한 재발방지 대책을 추진하고 있다”며 “이번 일로 불편을 겪었을 고객분들께 다시 한 번 죄송하다”고 전했다.

정은경 기자 ek7869@fntimes.com