LG유플러스가 관리 소홀로 고객 약 30만명의 개인정보를 유출시켜 과징금 68억원을 물게 됐다. 국내 기업에 부과된 과징금으로는 최대 규모다. 조사 결과 드러난 LG유플러스의 개인정보 보호 시스템은 민감 정보를 다루는 대기업 통신사라고는 믿기 어려울 만큼 허술했다.
개인정보보호위원회는 12일 전체회의를 열고 고객 개인정보 60만건(중복 제거시 30만건)이 유출된 LG유플러스에 대해 과징금 68억원과 과태료 2700만원을 부과했다.
LG유플러스는 지난 1월 해커의 공격을 받았고, 이후 불법거래 사이트에 고객 개인정보 약 60만건이 공개됐다. 개인정보위와 한국인터넷진흥원이 분석한 결과 유출이 확인된 개인정보는 중복 제거시 총 29만7117건(명)이다. 유출 항목은 휴대전화번호·성명·주소·생년월일·이메일 주소·아이디·USIM고유번호 등 26개 항목에 달한다.
LG유플러스의 여러 시스템 중 유출된 데이터와 가장 일치하는 데이터를 보관하는 시스템은 고객인증시스템(CAS)이며, 유출시점은 2018년 6월인 것으로 분석됐다. CAS는 LG유플러스 부가 서비스 제공 과정에서 고객인증과 부가서비스 가입·해지 기능을 제공하는 시스템이다.
조사 결과 이 회사의 개인정보 보호 인프라는 허점 투성이였다. 정부 조사가 시작된 지난 1월까지 CAS의 서비스 운영 인프라와 보안 환경은 해커의 불법침입에 매우 취약한 상태였다. CAS의 운영체제(OS), 데이터베이스 관리시스템(DBMS), 웹서버(WEB), 웹 애플리케이션 서버(WAS) 등 LG유플러스가 사용하는 소프트웨어 대부분이 유출이 발생한 것으로 추정되는 2018년 6월 이미 단종되거나 기술지원이 종료된 상태였다.
불법침입과 침해사고 방지에 필요한 침입차단시스템(방화벽) 등 기본 보안장비도 설치되지 않았다. 설치 중이더라도 보안정책이 제대로 적용되지 않았다. 일부는 기술 지원이 중단된 제품이었다.
악성코드조차 제대로 삭제하지 않았다. CAS 개발기에 2009년과 2018년에 업로드된 악성코드(웹셸)가 올해 1월까지 그대로 남아 있었다. 웹셸에 대한 점검이나 침입방지시스템의 웹셸 탐지·차단 정책은 적용하지 않았다.
CAS 개발기·검수기에서 실제 고객 개인정보를 테스트한 이후 일부 데이터를 방치하기도 했다. 이로 인해 2008년에 생성된 정보 등 1000만건 이상의 개인정보가 정부 조사가 시작될 때까지 남아 있었다.
개인정보 취급자의 접근권한과 접속 기록도 제대로 관리하지 않았다. 대규모 개인정보를 추출·전송한 기록을 남기지 않고, 비정상 행위 여부에 대한 점검·확인이 안 되는 등 관리 통제도 부실했다.
개인정보위는 “LG유플러스 고객인증 시스템의 전반적인 관리 부실과 함께 타사 대비 현저히 저조한 정보보호‧보안 관련 투자와 노력 부족이 금번 개인정보 유출사고로 이어졌다고 판단한다”고 전했다. 이어 “최근 3년간 개인정보 보호법 위반으로 과징금·과태료 처분을 받은 LG유플러스에 대해 개인정보보호책임자(CPO)의 역할과 위상 강화, 개인정보 보호 조직의 전문성 제고, 개인정보 내부관리계획 재정립, 전반적인 시스템 점검 및 취약요소 개선 등을 시정명령 하기로 했다”고 설명했다.
LG유플러스는 “이번 일로 불편을 겪으셨을 고객분들께 다시 한번 고객 숙여 사과의 말씀을 드린다”며 “지난 2월 발표한 1000억원 규모의 정보보호투자 등 전사적 차원의 재발방지 대책을 잘 추진해 신뢰할 수 있는 보안에 강한 회사로 거듭나겠다”고 밝혔다.