개인정보 30만건 유출된 LGU+, 과징금 68억원…국내 기업 중 최대

해커 공격으로 고객 정보 30만 건이 유출된 LG유플러스에 대해 정부가 과징금 68억원 등의 처분을 내렸다. 회원 정보를 유출 건으로 국내 기업이 받은 과징금 중 최고 수준이다. 이전까지는 2016년 인터파크가 2500만여 명 회원정보 유출로 과징금 44억8000만원을 처분 받은 게 최고 기록이었다.

고학수 개인정보보호위원회 위원장이 12일 서울 종로구 정부서울청사에서 열린 제12회 개인정보보호위원회 전체회의를 주재하고 있다. 연합뉴스

개인정보보호위원회(개인정보위)는 12일 전체회의를 열어 “LG유플러스에 대해 과징금 68억원과 과태료 2700만원을 부과하고 전반적인 시스템 점검 및 취약 부분 개선 등 재발 방지를 위한 시정조치를 의결했다”고 밝혔다.

LG유플러스는 지난 1월 다크 웹(불법 거래 사이트)에 고객 개인정보 약 30만 건이 유출돼 개인정보위와 경찰 등으로부터 조사를 받았다. 개인정보위와 한국인터넷진흥원의 분석 결과, 유출이 확인된 개인정보는 총 29만7117건, 유출 항목은 휴대전화번호·이름·주소·생년월일·이메일 주소·아이디·USIM 고유번호 등 26개 항목이다.

고객 정보는 LG유플러스가 데이터를 보관하는 고객인증시스템(CAS)에서 유출된 것으로 확인됐다. CAS는 LG유플러스 부가 서비스 제공과정에서 고객 인증과 가입·해지 기능을 제공하는 시스템이다.

개인정보위는 이날 “지난 1월 조사가 시작되기 전까지 CAS의 서비스 운영 인프라와 보안 환경은 해커 등의 불법 침입에 매우 취약한 상황이었다”고 밝혔다. 개인정보위 관계자는 “해킹으로 정보가 유출됐다고 추정되는 2018년 6월 기준으로 LG유플러스가 사용하는 소프트웨어 대부분이 단종되거나 기술 지원이 종료된 상태였다”면서 “CAS에서 관리하는 개인정보가 포함된 운영 데이터를 다른 곳(개발기와 검수기)에 옮겨 테스트를 진행한 뒤 이를 폐기 않고 방치해, 2008년에 생성된 정보 등 1000만 건 이상의 개인 정보가 조사 시점까지 남아있었다”고 말했다.

지난 2월 서울 용산 LG 유플러스 본사에서 열린 고객 개인정보 유출과 디도스(DDoS) 공격으로 인한 인터넷 서비스 장애에 대한 기자간담회에서 이 회사 관계자들이 취재진의 질문을 받고 있다. 연합뉴스

개인정보위에 따르면 LG유플러스는 개인정보 등 불법 침해 사고 방지에 필요한 침입차단시스템(방화벽) 등 기본적인 보안 장비가 설치되지 않았거나, 설치됐더라도 보안 정책이 허술했다. 유출 사실을 알고도 피해 고객들에게 24시간 내 개별 통지하지 않은 점도 법규 위반 항목에 포함됐다.

개인정보위는 “LG유플러스는 사고 이후 약속한 개인정보보호 관련 투자와 2차 피해 방지 대책을 차질없이 이행하라”고 당부했다.

LG유플러스 관계자는 이날 “고객들에게 다시 한번 고개 숙여 사과의 말씀을 드린다”며 “1000억원 규모의 정보보호투자 계획을 포함해 재발 방지 대책을 전사적으로 추진하고 있다”고 말했다.

지난 2월 16일 서울 용산 LG 유플러스 본사에서 열린 고객 개인정보 유출과 디도스(DDoS) 공격으로 인한 인터넷 서비스 장애에 대한 기자간담회에서 이 회사 대표인 황현식 사장(왼쪽에서 세 번째)과 관계자들이 취재진의 질문에 답하고 있다. 연합뉴스

사고 이후 지난 2월 LG유플러스는 “정보보호 투자 규모를 기존 대비 3배 이상인 1000억원 수준으로 늘리겠다”고 발표했다. 회사는 상반기에 사이버 보안 강화를 위해 640억원을 집행했다고 밝혔다. 사이버 보안 방어 체계를 공고히 하는 ‘취약성 점검’에 200억원, ‘통합모니터링 관제’에 196억원 등이다. 하반기에는 보안 인프라 투자에 172억원을 투자할 예정이다. LG유플러스는 “내년에는 웹 방화벽도 이중 삼중으로 추가해 인프라 보안 체계를 더욱 고도화해, 보안에 강한 회사로 거듭나겠다”고 밝혔다.