개보위, ‘개인정보유출’ LG유플러스에 과징금 68억 원 부과

올해 1월 개인정보 29만건 유출…전화번호·성명 등 26개 항목
고객인증시스템에서 2018년 6월 유출 추정…불법 침입 취약해
LG유플러스 “고객께 다시 사과…보안 강한 회사로 거듭날 것”

▲남석 개인정보보호위원회 조사조정국장이 12일 정부서울청사 3층 합동브리핑룸에서 LG유플러스의 개인정보보호 법규 위반행위에 대한 시정조치에 대해 브리핑 하고 있다. (사진제공=개인정보보호위원회)

올해 1월 개인정보 유출사고가 발생한 LG유플러스에 과징금 68억 원과 함께 과태료 2700만 원이 부과됐다.

개인정보보호위원회는 12일 전체 회의를 열고 LG유플러스에 대해 이같이 의결했다. 전반적인 시스템 점검 및 취약부분 개선 등 재발 방지를 위한 시정조치(안)도 포함됐다.

개보위는 지난 1월 해커에 의해 불법거래 사이트에 개인정보 약 60만 건(중복 제거시 약 30만 건)이 공개된 LG유플러스에 대해, 합동조사단·경찰 등과 협조해 조사를 진행해 왔다.

조사 결과 유출이 확인된 개인정보는 총 29만7117건(중복제거시)으로 확인됐다. 유출 항목은 휴대전화번호·성명·주소·생년월일·이메일주소·아이디·USIM고유번호 등 26개의 항목이다. LG유플러스의 여러 시스템 중 유출된 데이터와 가장 일치하는 데이터를 보관하는 시스템은 고객인증시스템(CAS)으로 조사됐으며, 유출시점은 2018년 6월경인 것으로 추정된다.

개보위는 LG유플러스의 개인정보 보호법 준수여부 등을 조사한 결과, CAS의 서비스 운영 인프라와 보안 환경이 해커 등의 불법침입에 매우 취약한 상황이었던 것으로 판단했다. CAS의 운영체제(OS)와 데이터베이스 관리시스템(DBMS), 웹서버(WEB), 웹 어플리케이션 서버(WAS) 등 상용 소프트웨어 대부분이 유출이 발생한 것으로 추정되는 2018년 6월 기준 단종되거나 기술지원이 종료된 상태였던 것으로 드러났다.

특히, CAS 개발기에 2009년과 2018년에 업로드된 악성코드(웹셸)가 2023년 1월까지 삭제되지 않고 남아 있기도 했다. 웹셸에 대한 점검이나 IPS의 웹셸 탐지‧차단 정책이 적용되지 않고 있던 셈이다. 또 CAS 운영기에서 관리하는 실제 운영 데이터(개인정보 포함)를 개발기, 검수기로 옮겨 테스트를 진행한 후, 일부 데이터를 방치해 2008년에 생성된 정보 등 1000만 건 이상의 개인정보가 조사 시점까지 남아 있었던 것으로 확인됐다.

이에 개보위는 LG유플러스가 CAS 시스템의 전반적인 관리 부실과 함께 저조한 정보보호‧보안 관련 투자와 노력 부족이 개인정보 유출사고로 이어졌다고 판단했다. 이에 따라 보호법 위반으로 과징금과 과태료를 부과하기로 결정했다고 설명했다.

개보위 관계자는 “평소 다량의 개인정보를 보유·처리하는 사업자의 경우 개인정보 보호 관련 예산·인력의 투입을 비용이 아닌 투자로 파악하는 전기가 될 것”이라며 “데이터 경제시대 개인정보 보호 관련 최고책임자(CPO) 및 조직이 기업경영에서 차지하는 역할과 중요성에 대해 재고하게 되는 계기가 될 것”이라고 말했다.

이에 LG유플러스는 보안 강화를 위해 상반기까지 약 640억 원을 집행했다. 2월 정보보호 투자 규모 강화 계획을 밝힌 지 4달만이다. 당시 LG유플러스는 올해 투자 규모를 1000억 원까지 확대한다고 밝힌 바 있다.

상반기 투자금액 중 가장 많은 집행된 부문은 취약성 점검이다. 약 200억 원이 투입됐으며 방어체계를 공고히 해 이슈 발생을 기술적으로 막겠다는 의지다. 통합 모니터링 관제에도 196억 원이 투입돼 현재 마곡사옥 1층에 통합관제센터를 구축하고 있다.

LG유플러스 관계자는 “이번 일로 불편을 겪으셨을 고객분들게 다시 한번 고객 숙여 사과의 말씀을 드린다”며 “지난 2월 1000억 원 규모의 정보보호투자 계획을 포함한, 전사적 차원의 재발방지 대책을 추진하고 있다”고 설명했다. 이어 “앞으로 고객분들께 신뢰를 드릴 수 있는, 보안에 강한 회사로 거듭날 것”이라고 강조했다.