[뉴스토마토 심수진 기자] 올해 초 개인정보 유출사고가 발생한
LG유플러스(032640)에 대해 개인정보보호위원회가 보호법 위반으로 과징금 68억원과 과태료 2700만원을 부과했습니다. 국내 기업에 부과한 과징금 액수로는 최대 규모입니다.
12일 개인정보위는 전체회의를 열어 LG유플러스에 대해 과징금 68억원과 과태료 2700만원을 부과하고, 전반적인 시스템 점검 및 취약부분 개선 등 재발 방지를 위한 시정조치안을 의결했습니다.
개인정보위는 지난 1월 개인정보 약 60만건(중복 제거시 약 30만건)이 공개된
LG유플러스에 대해 그 동안 민관합동조사단, 경찰 등과 협조해 조사를 진행해왔습니다.
개인정보위와 한국인터넷진흥원(KISA)이 분석한 결과 유출이 확인된 개인정보는 총 29만7117건(중복 제거시)이었습니다. 유출 항목은 휴대전화 번호·성명·주소·생년월일·이메일 주소·아이디·USIM 고유번호 등 26개 항목입니다. LG유플러스의 여러 시스템 중 유출된 데이터와 가장 일치하는 데이터를 보관하는 시스템은 고객인증시스템(CAS)인 점과 유출시점은 2018년 6월경인 것으로 분석·확인됐습니다.
엘지유플러스의 주요 위반사항은 △CAS의 서비스 운영 인프라 및 보안 환경 취약 △CAS 테스트 진행 후 일부 데이터 방치 △개인정보 관리 통제 부실 등입니다.
개인정보위에 따르면 CAS의 운영체제, 데이터베이스 관리시스템(DBMS), 웹서버(WEB), 웹 어플리케이션 서버(WAS) 등 상용 소프트웨어 대부분은 유출된 것으로 추정되는 2018년 6월 기준으로 단종됐거나 기술지원이 종료된 상태였습니다. 또한 불법침입과 침해사고 방지에 필요한 침입차단시스템(방화벽), 침입방지시스템(IPS), 웹방화벽 등 기본적인 보안장비도 설치되지 않았거나 보안정책이 제대로 적용되지 않았다는 설명입니다.
개인정보위 관계자는 "LG유플러스는 다수 국민의 개인정보를 처리하는 유·무선 통신사업자로서 엄격한 개인정보 관리가 요구됨에도 불구하고, CAS의 전반적인 관리 부실과 함께 타사 대비 현저히 저조한 정보보호·보안 관련 투자와 노력 부족이 이번 개인정보 유출사고로 이어졌다"고 말했습니다.
또한 최근 3년간 보호법 위반사실이 존재하는 LG유플러스에 대해 △개인정보보호책임자(CPO)의 역할과 위상 강화 △개인정보 보호 조직의 전문성 제고 △개인정보 내부관리계획 재정립 △전반적인 시스템 점검 및 취약요소 개선 등을 시정명령 했습니다. 지난 1월 사고 이후 LG유플러스에서 약속한 개인정보 보호 관련 각종 투자와 2차 피해 방지 대책을 차질 없이 이행할 것도 당부했습니다.
LG유플러스는 개인정보 유출 사고에 대한 사과와 함께 재발방지 대책 추진을 강조했습니다.
LG유플러스 관계자는 "이번 일로 불편을 겪으셨을 고객분들께 다시 한 번 고객 숙여 사과의 말씀을 드린다"며 "지난 2월 1000억원 규모의 정보보호 투자 계획을 포함한 전사적 차원의 재발방지 대책을 추진하고 있다"고 말했습니다. 또한 고객에게 신뢰를 드릴 수 있는 보안에 강한 회사로 거듭나겠다고 강조했습니다.
LG유플러스는 사고 이후 정보보호 투자 규모를 기존 대비 3배 이상인 1000억원 수준까지 늘리겠다고 밝혔는데요, 올해 상반기에 640억원을 집행했습니다.
가장 많은 비용이 집행된 부문은 '취약성 점검'으로, 약 200억원 규모입니다. 사이버 보안의 기반이라고 할 수 있는 방어 체계를 공고히 해 이슈 발생을 기술적으로 막겠다는 취지입니다.
또한 '통합 모니터링 관제'에 196억원을 투자해 분산됐던 관제센터를 한 곳으로 합쳐 사이버 보안의 신속 대응 체계를 갖출 예정입니다. 보안 인프라 투자에도 약 172억원을 집행합니다. 하반기 중 전체 방화벽에 대한 정책관리 솔루션을 통해 관제 정책 등을 제로베이스에서 점검하고 강화할 계획입니다.
심수진 기자 lmwssj0728@etomato.com
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 김기성 편집국장이 최종 확인·수정했습니다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지