[방송기술저널 전숙희 기자] 개인정보보호위원회가 지난 1월 개인정보 유출 사고가 발생한 LG유플러스에 대해 과징금 68억 원과 과태료 2,700만 원을 부과하고, 전반적인 시스템 점검 및 취약 부분 개선 등 재발 방지를 위한 시정조치(안)를 7월 12일 의결했다.
지난 1월 해커에 의해 LG유플러스 고객의 개인정보 약 60만 건(중복 제거 시 약 30만 건)이 불법 거래 사이트에 공개됐다.
개인정보위는 민관 합동조사단, 경찰 등과 협조해 관련 내용을 조사해 왔다. 개인정보위와 한국인터넷진흥원(KISA)이 분석한 결과, 유출을 확인한 개인정보는 총 297,117건(중복 제거 시)이었다.
유출 항목은 휴대전화번호, 성명, 주소, 생년월일, 이메일주소, 아이디, USIM고유번호 등 26개 항목이었으며, LG유플러스의 여러 시스템 중 고객인증시스템(Compound Authorization System, CAS)의 데이터가 유출 데이터와 가장 일치했다. 또, 유출 시점은 2018년 6월경으로 분석 및 확인됐다.
조사 결과, 올해 1월까지 CAS의 서비스 운영 인프라와 보안 환경이 해커 등에 매우 취약한 상황이었다. CAS의 운영체제, 데이터베이스 관리시스템), 웹서버, 웹 애플리케이션 서버 등 상용 소프트웨어 대부분이 2018년 6월 기준으로 단종되거나 기술 지원을 종료한 상태였다.
또한, 불법침입과 침해사고 방지에 필요한 침입차단시스템(방화벽), 침입방지시스템(IPS), 웹방화벽 등 기본적인 보안 장비를 설치하지 않았거나 설치 중이더라도 보안정책을 제대로 적용하지 않았고, 일부는 기술 지원을 중단한 상태였다.
특히, CAS 개발기에 2009년과 2018년에 업로드한 악성코드(웹셸)가 올해 1월까지 삭제되지 않고 남아 있었고, 웹셸에 대한 점검이나 IPS의 웹셸 탐지‧차단 정책은 적용하지 않고 있었다.
아울러, CAS 운영기에서 관리하는 실제 운영 데이터(개인정보 포함)를 개발기, 검수기로 옮겨 테스트를 진행한 후 일부 데이터를 방치해 2008년에 생성한 정보 등 1천만 건 이상의 개인정보가 조사 시점까지 남아 있었다.
LG유플러스는 개인정보취급자의 접근 권한과 접속 기록도 제대로 관리하지 않았다. 대규모 개인정보를 추출‧전송한 기록을 남기지 않고 비정상 행위 여부에 대한 점검‧확인이 안 되는 등 관리‧통제도 부실한 상황이었다.
개인정보위는 “LG유플러스는 다수 국민의 개인정보를 처리하는 유‧무선 통신사업자로서 엄격한 개인정보 관리가 요구됨에도 불구하고, CAS의 전반적인 관리가 부실하고 타사 대비 정보 보호‧보안 관련 투자와 노력이 현저히 부족했다”면서 개인정보 유출 사고의 원인을 분석했다.
이에 개인정보위는 LG유플러스에 보호법 위반으로 과징금 68억 원과 과태료 2,700만 원을 부과하기로 결정했으며, 개인정보보호책임자의 역할과 위상 강화, 개인정보 보호 조직의 전문성 제고, 개인정보 내부관리계획 재정립, 전반적인 시스템 점검 및 취약 요소 개선 등을 시정명령하기로 했다.
개인정보위는 LG유플러스에 “약속한 개인정보 보호 관련 각종 투자와 2차 피해방지 대책을 차질 없이 이행해달라”고 당부하면서, 이번 개인 정보 유출 사고가 “데이터 경제시대 개인정보 보호 관련 최고책임자 및 조직이 기업경영에서 차지하는 역할과 중요성에 대해 재고하는 계기가 되길 바란다”고 전했다.
