​해킹 사고 LGU+에 과징금 68억... 어떤 법규 위반했나

남석 개인정보위 조사조정국장이 12일 정부서울청사에서 LG유플러스의 개인정보 보호법 위반과 시정조치에 대해 브리핑하고 있다. [사진=개인정보위]

해킹을 당해 고객 개인정보를 유출한 LG유플러스가 과징금 68억원과 함께 과태료 2700만원을 부과받았다. 주무부처인 개인정보보호위원회는 △안전조치 △개인정보 파기 △유출 통지 등의 의무를 위반한 것으로 판단하고, 관련 매출액 3%를 과징금으로 부과했다. 개인정보위가 부과한 과징금 중 국내 단일 기업으로는 최대 규모다.

개인정보위는 12일 전체회의를 열고 이 같은 사항을 의결했다. 개인정보위는 LG유플러스의 부가서비스 가입·관련 고객인증 시스템(CAS) 관리에 미흡한 것으로 판단해, 부가서비스 관련 매출을 기준으로 과징금을 산정했다.

앞서 LG유플러스는 올해 1월 한국인터넷진흥원으로부터 고객 개인정보유출 의심 정황을 전파받고, 자체 조사에 나섰다. 이후 관련 내용을 유관기관에 신고하고 정보주체인 고객에게 알렸다. 사건을 접수한 개인정보위는 1월 11일 현장조사에 착수했다. 조사 결과 유출이 확인된 개인정보는 총 29만7117건이며, 여기에는 휴대전화 번호, 성명, 주소, 생년월일, 유심 번호 등 26개 항목이 포함됐다.

안전조치 의무 위반과 관련해 개인정보위는 LG유플러스의 CAS 운영 인프라와 보안 환경이 매우 취약한 것으로 확인했다. 소프트웨어와 운영체제 등은 유출 발생 시점인 2018년 6월경 이미 단종되거나 기술지원이 종료된 상태였다. 즉 보안 업데이트가 불가능한 상황이었다. 방화벽 등 외부 침입을 막는 보안 장비도 설치되지 않았거나 제대로 운영되지 않았다. 과거 시스템에 들어온 악성코드도 올해 1월까지 삭제되지 않은 상태였다.

관련기사

• 개인정보위, 합성데이터 안전한 생성·활용 알리는 안내서 발간
• "개인정보위, 지난 4년간 개인정보 유출 처분 건수 148건"

또 개인정보위는 CAS에 고객 데이터가 방치된 점을 지적했다. 테스트 과정에서 사용한 개인정보 약 1000만건은 2008년에 생성된 것으로, 해당 데이터는 올해 조사 시점까지 남아있었다. 이 밖에도 개인정보 취급자의 접속 권한과 접속 기록을 제대로 관리하지 않아, 무단 접근 등 비정상 행위에 대한 점검과 확인도 어려웠다.

정보주체에 대한 유출 통지도 늦었다. 개인정보위에 따르면 LG유플러스는 유출 사실을 1월 2일 인지하고, 이후 순차적으로 신고와 통지를 진행했다. 개인정보 보호법에선 기업이 유출 사실을 인지하는 즉시 관련 기관에 신고하고, 정보주체에게 이를 알리도록 하고 있다. LG유플러스의 경우 서비스 해지 이용자에 대한 확인이 늦어, 통지도 약 1개월가량 지연됐다.

LG유플러스 관계자는 "이번 일로 불편을 겪은 고객분들께 고 숙여 사과드린다. LG유플러스는 1000억원 규모의 정보보호투자 계획을 포함해 전사적 재발방지 대책을 추진하고 있다. 신뢰를 주는, 보안에 강한 회사로 거듭나겠다"고 밝혔다.