‘개인정보 30만 건 유출’ LG유플러스에 과징금 68억 원 부과

개인정보보호위원회는 전체회의를 열고 개인정보 약 30만 건이 유출된 LG유플러스에 대해 과징금 68억 원과 과태료 2700만 원을 부과했다고 12일 밝혔다.

LG유플러스는 1월 해커의 공격을 받아 불법 거래 사이트에 고객 개인정보 약 60만 건(중복 제거 시 약 30만 건)이 공개됐다. 이에 개인정보위는 민관 합동조사단, 경찰과 협조해 조사를 진행해왔다.

크게보기

남석 개인정보보호위원회 조사조정국장이 12일 오후 정부서울청사 3층 합동브리핑룸에서 LG유플러스의 개인정보보호 법규 위반행위에 대한 시정조치를 브리핑 하고 있다. 개인정보위 제공

개인정보위와 한국인터넷진흥원 분석 결과, 유출이 확인된 개인정보는 중복 제거 시 총 29만7117건인 것으로 나타났다. 유출 항목은 휴대전화번호, 성명, 주소, 생년월일, 이메일 주소, 아이디, USIM 고유 번호 등 26개다.

LG유플러스의 여러 시스템 중 유출된 데이터와 가장 일치하는 데이터를 보관하는 시스템은 고객인증시스템(CAS)이다. 유출 시점은 2018년 6월인 것으로 분석됐다. CAS는 LG유플러스 부가 서비스 제공 과정에서 고객인증과 부가 서비스 가입·해지 기능을 제공하는 시스템이다.

조사가 시작된 1월까지 CAS의 서비스 운영 인프라와 보안 환경은 해커의 불법 침입에 매우 취약한 상태였던 것으로 파악됐다. CAS의 운영체제(OS), 데이터베이스 관리시스템(DBMS), 웹서버(WEB), 웹 애플리케이션 서버(WAS) 등 LG유플러스가 사용하는 소프트웨어 대부분은 유출이 발생한 것으로 추정되는 2018년 6월 기준으로 단종되거나 기술지원이 종료된 상태였다. 또 불법 침입과 침해사고 방지에 필요한 침입차단시스템(방화벽) 등 기본적인 보안장비가 설치되지 않았거나, 설치 중이더라도 보안정책이 제대로 적용되지 않았다.

CAS 운영기에서 관리하는 실제 운영 데이터(개인정보 포함) 중 일부가 방치돼 2008년에 생성된 정보 등 1000만 건 이상의 개인정보가 조사 시점까지 남아 있었던 사실도 확인됐다. 개인정보위는 “CAS 시스템 관리가 전반적으로 부실했고 타사 대비 현저히 저조한 정보보호 관련 투자와 노력이 이번 개인정보 유출 사고로 이어졌다고 판단한다”고 말했다.

이소정 기자 sojee@donga.com