개인정보보호위원회가 12일 전체회의를 개최하고 개인정보 유출사고 발생과 관련해 LG유플러스에 과징금 68억원과 과태료 2700만원을 부과하고 재발 방지를 위한 시정조치를 의결했다.

개인정보위는 지난 1월 해커에 의해 불법거래 사이트에 개인정보 약 60만건(중복 제거 시 약 30만건)이 공개된 LG유플러스에 대해 민관 합동조사단·경찰 등과 협조해 조사를 진행했다.

개인정보위와 한극인터넷진흥원의 분석 결과 유출이 확인된 개인정보는 총 29만 7117건이었다.

유출 항목은 휴대전화번호·성명·주소·생년월일·이메일주소·아이디·USIM고유번호 등 26개의 항목으로, 유출시점은 2018년 6월 경인 것으로 확인됐다.

개인정보위가 지난 1월부터 LG유플러스의 개인정보 보호법 준수여부를 조사한 결과 LG유플러스는 1월까지 고객인증시스템(CAS)의 서비스 운영 인프라와 보안 환경이 해커 등의 불법침입에 매우 취약했다.

CAS의 운영체제(OS), 데이터베이스 관리시스템(DBMS), 웹서버(WEB), 웹 어플리케이션 서버(WAS) 등 상용 소프트웨어 대부분은 2018년 6월 기준으로 단종되거나 기술지원이 종료된 상태였다.

또한 불법침입과 침해사고 방지에 필요한 침입차단시스템, 침입방지시스템, 웹방화벽 등 기본적인 보안장비가 설치되지 않았거나 보안정책이 제대로 적용되지 않았다.

특히 CAS 개발기에 2009년과 2018년 업로드된 악성코드(웹셸)가 올해 1월까지 남아 있었고, 이에 대한 점검이나 IPS의 탐지·차단 정책은 적용되지 않았다.

또한 CAS 운영기에서 관리하는 실제 운영 데이터를 개발기, 검수기로 옮겨 테스트를 진행한 후 일부 데이터를 방치해 1천만 건 이상의 개인정보가 조사 시점까지 남아 있었다.

LG유플러스는 개인정보 관리 시 개인정보취급자의 접근권한과 접속기록을 제대로 관리하지 않아 대규모 개인정보를 추출·전송한 기록을 남기지 않고 비정상 행위 여부에 대한 점검·확인이 불가했다.

이에 개인정보위는 LG유플러스에 대해 보호법 위반으로 과징금과 과태료를 부과하기로 했다.

아울러 개인정보보호책임자의 역할과 위상 강화, 개인정보 보호 조직의 전문성 제고, 개인정보 내부관리계획 재정립, 전반적인 시스템 점검 및 취약요소 개선 등을 시정명령 하기로 했다.

[뉴스로드] 홍성호 기자 newsroad01@newsroad.co.kr