LG유플러스가 개인정보 유출사고 관련 위반사항에 대해 과징금 68억원을 부과받았다.
 
개인정보보호위원회는 12일 전체회의를 통해 개인정보 유출사고가 발생한 LG유플러스에 대해 과징금 68억원과 함께 과태료 2,700만 원을 부과하고 전반적인 시스템 점검 및 취약부분 개선 등 재발 방지를 위한 시정조치를 의결했다.
 
지난 1월 LG유플러스는 해커에 의해 불법거래 사이트에 개인정보 약 60만건(중복제거시 약 30만 건)이 공개됐다.
 
개인정보위는 민관 합동조사단·경찰 등과 협조하여 조사를 진행하고, 4월 결과를 발표했다. 개인정보위와 한국인터넷진흥원(KISA)이 분석한 결과, 유출이 확인된 개인정보는 총 297,117건(중복제거시)으로 유출 항목은 휴대전화번호·성명·주소·생년월일·이메일·아이디·USIM고유번호 등 26개의 항목이다.
 
LG유플러스의 여러 시스템 중 유출된 데이터와 가장 일치하는 데이터를 보관하는 시스템은 고객인증시스템(CAS)인 점과, 유출시점은 2018년 6월경으로 확인됐다.
 
개인정보위는 지난 1월부터 LG유플러스의 개인정보 실태와 개인정보 보호법 준수여부를 조사해 주요 위반사항을 파악했다.
 
우선 조사가 시작된 2023년 1월까지 고객인증시스템(CAS)의 서비스 운영 인프라와 보안 환경은 해커 등의 불법침입에 취약한 것으로 나타났다. 상용 소프트웨어 대부분이 유출이 발생한 것으로 추정되는 2018년 6월 기준으로 단종 또는 기술지원이 종료된 상태라는 설명이다.
 
또한 방화벽, 침입방지시스템(IPS), 웹방화벽 등 기본적인 보안 장비가 설치되지 않았거나 설치 중이더라도 보안정책이 제대로 적용되지 않았고, 일부는 기술지원이 중단된 상태였다. 고객인증시스템(CAS) 개발기에 업로드된 악성코드가 2023년 1월까지 삭제되지 않고 남아 있었고, 웹셸에 대한 점검이나 IPS의 보안 정책은 적용되지 않은 것으로 파악됐다.
 
LG유플러스는 고객인증시스템(CAS)을 개발기, 검수기, 운영기로 나눠서 운영하는데, 고객인증시스템(CAS) 운영기에서 관리하는 실제 운영 데이터(개인정보 포함)를 개발기, 검수기로 옮겨 테스트를 진행한 후, 일부 데이터를 방치해 오래된 1천만 건 이상의 개인정보가 조사 시점까지 남아 있었다.
 
마지막으로 다량의 개인정보를 관리하며 개인정보취급자의 접근권한과 접속기록을 제대로 관리하지 않은 것으로 확인됐다. 대규모 개인정보를 전송 기록을 남기지 않고 비정상 행위 여부에 대한 확인이 안되는 등 관리 통제가 부실했다.
 
개인정보위는 보호법 위반으로 과징금과 과태료를 부과하기로 결정하고, 전반적인 시스템 점검 및 취약요소 개선 등을 시정명령 하기로 하며 지난 1월 사고 이후 약속한 개인정보 보호 관련 각종 투자와 2차 피해방지 대책을 차질 없이 이행할 것을 당부했다.
 
한편 LG유플러스는 7월 12일 지난 2월 정보보호 투자 규모를 기존 대비 3배 이상인 1,000억원 수준으로 늘리겠다고 밝힌 후, 상반기까지 약 640억원을 집행했다고 전했다.
 
총 110가지의 추진 과제 중 주요 투자 부문은 △취약성 점검 △통합 모니터링 관제 △인프라 투자 등이다. 이를 비롯해, △정보보호 전담 인력 강화 △보안 조직 확대·개편 △최고정보보호책임자(CISO) 영입 △ ‘정보보호자문위원회’ 신설을 통한 보안 검증 체계 강화 △인재 육성을 위한 숭실대학교 연계 정보보호학과 운영 등 인적 투자를 행하고 있다고 밝혔다.