개인정보위, 과태료 2700만원과 시정명령도
“유출 당시 단종·지원종료된 소프트웨어 사용”
LGU+ “다시 고개숙여 사과… 대책 이행 중”

지난 1월 해커의 공격에 의해 고객 개인정보 약 30만건이 유출된 LG유플러스에 대해 개인정보보호위원회가 과징금 68억원과 과태료 2700만원을 부과했다. 위원회가 그동안 제재한 국내 기업 중 최대 금액이다.

위원회는 12일 전체회의를 열고 이렇게 결정했다. 지난 1월 불법거래 사이트에 LG유플러스 고객 개인정보 약 60만건(중복 포함)이 공개됐다. 이에 위원회는 민관 합동조사단, 경찰과 협조해 조사를 해 왔다.

분석 결과 유출이 확인된 개인정보는 중복된 경우를 빼면 총 29만 7117건이며, 유출된 항목은 휴대전화번호·성명·주소·생년월일·이메일 주소·아이디·유심(USIM) 고유번호 등 26개다.

LG유플러스의 여러 시스템 중 유출된 자료와 가장 일치하는 데이터를 보관하는 시스템은 고객인증시스템(CAS)이며, 유출시점은 2018년 6월인 것으로 분석됐다. CAS는 LG유플러스 부가 서비스 제공 과정에서 고객인증과 부가서비스 가입·해지 기능을 제공하는 시스템이다. 이에 위원회는 전체 매출액이 아닌 부가서비스 관련 매출액을 기준으로 과징금을 산정했다.

조사가 시작된 지난 1월까지 CAS의 서비스 운영 인프라와 보안 환경은 해커의 불법침입에 매우 취약한 상태였다. 운영체제(OS), 데이터베이스 관리시스템(DBMS), 웹서버(WEB), 웹 애플리케이션 서버(WAS) 등 LG유플러스가 사용하는 소프트웨어 대부분은, 유출이 발생한 것으로 추정되는 2018년 6월 기준 단종되거나 기술지원이 종료된 상태였다. 또 침입차단시스템(방화벽) 등 기본 보안장비가 설치되지 않았거나, 보안정책이 제대로 적용되지 않았다.

CAS 운영기에서 관리하는 실제 운영 데이터를 살펴본 결과, 2008년에 생성된 정보 등 개인정보 1000만건 이상이 조사 시점까지 남아 있었던 사실도 확인됐다. 다량의 개인정보를 관리하면서도 개인정보취급자의 접근 권한과 접속 기록을 제대로 관리하지 않아, 대규모 개인정보를 추출·전송한 기록이 남아있지 않고, 비정상 행위 점검과 확인이 안 되는 등 관리 통제도 부실한 상황이었다.

개인정보 유출 사실을 알고도 피해 고객들에게 24시간 내에 개별적으로 통지하지 않은 것도 법규 위반항목에 포함됐다. 위원회는 “CAS 시스템 관리가 전반적으로 부실했고, 타사 대비 현저히 저조한 정보보호 관련 투자와 노력이 이번 개인정보 유출 사고로 이어졌다고 판단한다”고 밝혔다.

위원회의 과징금 규모는 연 매출액의 3% 이내까지 부과할 수 있는 관련 법규에 비해서는 다소 가벼운 편이지만, 위원회가 국내 기업에 부과한 규모로는 사상 최대 액수다. 위원회는 이와 함께 개인정보보호책임자(CPO)의 역할 강화, 개인정보 보호 조직 전문성 제고, 개인정보 내부관리계획 재정립 등을 시정명령하기로 했다. 지난 1월 사고 이후 LG유플러스가 약속한 개인정보 보호 관련 각종 투자와 2차 피해 방지대책을 차질없이 이행하라고도 당부했다.

LG유플러스는 이번 제재에 대해 “이번 일로 불편을 겪으셨을 고객들께 다시 한 번 고개숙여 사과 말씀을 드린다”며 “지난 2월 발표한 1000억원 규모 정보보호 투자 계획을 포함한 전사적 차원의 재발방지대책을 추진하고 있다”고 입장을 냈다. 이어 “사이버 보안 강화를 위해 상반기까지 취약성 점검과 인프라 투자 등에 640억원을 집행하는 등 정보보호 투자액을 늘리고 있다”고 덧붙였다.