SBS Biz

"LG유플러스, 정보관리 부실…29만명 정보 유출"…과징금 68억원

SBS Biz 신채연
입력2023.07.12 14:03
수정2023.07.12 14:54


개인정보보호위원회가 개인정보 유출사고가 발생한 LG유플러스에 대해 과징금 68억원과 함께 과태료 2천700만원을 부과한다고 오늘(12일) 밝혔습니다.

개인정보위는 지난 1월 해커에 의해 불법거래 사이트에 개인정보 약 60만 건(중복 제거시 약 30만 건)이 공개된 LG유플러스에 대해 민관 합동조사단, 경찰 등과 협조해 조사를 진행해 왔습니다.

개인정보위와 한국인터넷진흥원이 분석한 결과, 유출이 확인된 개인정보는 총 29만7천117건(중복제거시)으로 유출 항목은 휴대전화번호·성명·주소·생년월일·이메일주소·아이디·USIM고유번호 등 26개입니다.

개인정보위는 LG유플러스의 여러 시스템 중 유출된 데이터와 가장 일치하는 데이터를 보관하는 시스템은 고객인증시스템(CAS)인 점, 유출시점은 2018년 6월쯤인 것으로 확인됐다고 전했습니다.

개인정보위는 올해 1월까지 고객인증시스템의 서비스 운영 인프라와 보안 환경은 해커 등의 불법침입에 매우 취약한 상황이었다고 설명했습니다.

고객인증시스템의 운영체제(OS), 데이터베이스 관리시스템(DBMS), 웹서버(WEB), 웹 어플리케이션 서버(WAS) 등 상용 소프트웨어 대부분이 유출이 발생한 것으로 추정되는 2018년 6월 기준, 단종되거나 기술지원이 종료된 상태였습니다.

또 불법침입과 침해사고 방지에 필요한 침입차단시스템(방화벽), 침입방지 시스템(IPS), 웹방화벽 등 기본적인 보안장비가 설치되지 않았거나 설치 중이더라도 보안정책이 제대로 적용되지 않았습니다.

일부는 기술지원이 중단된 상태였습니다. 특히 고객인증시스템 개발기에 2009년과 2018년에 업로드된 악성코드(웹셸)가 올해 1월까지 삭제되지 않고 남아 있었고, 웹셸에 대한 점검이나 IPS의 웹셸 탐지‧차단 정책은 적용되지 않고 있었습니다.

아울러 LG유플러스는 고객인증시스템 운영기에서 관리하는 실제 운영 데이터(개인정보 포함)를 개발기, 검수기로 옮겨 테스트를 진행한 뒤 일부 데이터를 방치했습니다. 2008년에 생성된 정보 등 1천만 건 이상의 개인정보가 조사 시점까지 남아 있었다고 개인정보위는 설명했습니다.

또한 LG유플러스는 다량의 개인정보를 관리하면서도, 개인정보취급자의 접근권한과 접속기록을 제대로 관리하지 않고 대규모 개인정보를 추출‧전송한 기록을 남기지 않는 등 관리 통제도 부실한 상황이었다고 개인정보위는 전했습니다.

개인정보위는 LG유플러스가 다수 국민의 개인정보를 처리하는 유‧무선 통신사업자로서 엄격한 개인정보 관리가 요구됨에도 불구하고, 고객인증시스템의 전반적인 관리 부실과 함께 타사 대비 현저히 저조한 정보보호‧보안 관련 투자와 노력 부족이 이번 개인정보 유출사고로 이어졌다고 판단했습니다.

LG유플러스 측은 "이번 일로 불편을 겪으셨을 고객분들께 고개 숙여 사과의 말씀을 드린다"면서 "지난 2월 1천억원 규모의 정보보호 투자 계획을 포함한, 전사적 차원의 재발방지 대책을 추진하고 있다. 고객분들께 신뢰를 드릴 수 있는, 보안에 강한 회사로 거듭나겠다"고 밝혔습니다.

ⓒ SBS Medianet & SBSi 무단복제-재배포 금지

신채연다른기사
KAI, 정찰위성 3호기 시제 제작 발사 성공
벼랑 끝 석유화학 先자구책 後지원책