'개인정보 유출 사고' LG유플러스에 과징금 68억원 부과
입력
수정
올해 1월 개인정보 유출 사고가 발생한 LG유플러스에 대해 정부가 과징금 68억원과 과태료 2700만원을 부과했다.
개인정보보호위원회는 12일 전체 회의를 열고 개인정보 유출 사고가 발행한 LG유플러스에 대해, 이 같은 조치를 의결했다. 전반적인 시스템 점검과 취약 부분 개선 등 재발 방지를 위한 시정조치도 포함됐다.개인정보위와 한국인터넷진흥원(KISA)이 분석한 결과 유출이 확인된 개인정보는 총 28만7117건이다. 유출 항목은 휴대폰 번호·성명·주소·생년월일·이메일주소·아이디·USIM 고유번호 등 26개 항목이다.
올해 1월부터 LG유플러스의 개인정보 처리·운영 실태와 개인정보 보호법 준수 여부를 조사한 결과 고객인증시스템(CAS)의 서비스 운영 인프라와 보안 환경이 해커 등 불법 침입에 매우 취약한 상황으로 확인됐다. 고객인증시스템의 운영체제와 데이터베이스 관리시스템, 웹서버, 웹 애플리케이션 서버 등 상용 소프트웨어 대부분이 유출이 발생한 것으로 추정되는 2018년 6월 기준으로 단종되거나 기술지원이 종료된 상태였다.
불법침입과 침해사고 방지에 필요한 침입 차단 시스템(방화벽), 침입 방지 시스템(IPS), 웹 방화벽 등 기본적인 보안장비가 설치되지 않았거나, 보안정책이 제대로 적용되지 않았고, 일부는 기술지원이 중단된 상태였다.그뿐만 아니라 고객인증시스템 운영기에서 관리하는 실제 운영 데이터(개인 정보 포함)를 개발기, 검수기로 옮겨 테스트를 진행한 후, 일부 데이터를 방치해 2008년에 생성된 정보 등 1000만 건 이상의 개인정보가 조사 시점까지 남아 있었다. 다량의 개인정보를 관리하면서도 개인정보 취급자의 접근권한과 접속기록을 제대로 관리하지 않아 대규모 개인정보를 추출‧전송한 기록을 남기지 않고 비정상 행위 여부에 대한 점검‧확인이 안 되는 등 관리 통제도 부실한 상황이었다.
개인정보위는 타사 대비 저조한 정보보호, 보안 관련 투자와 노력 부족이 이번 개인정보 유출 사고로 이어졌다고 판단해 과징금과 과태료를 부과하기로 결정했다. 개인정보보호책임자(CPO)의 역할과 위상 강화, 개인 정보 보호 조직의 전문성 제고, 개인정보 내부 관리계획 재정립, 전반적인 시스템 점검 및 취약 요소 개선 등도 당부했다.
이승우 기자 leeswoo@hankyung.com
개인정보보호위원회는 12일 전체 회의를 열고 개인정보 유출 사고가 발행한 LG유플러스에 대해, 이 같은 조치를 의결했다. 전반적인 시스템 점검과 취약 부분 개선 등 재발 방지를 위한 시정조치도 포함됐다.개인정보위와 한국인터넷진흥원(KISA)이 분석한 결과 유출이 확인된 개인정보는 총 28만7117건이다. 유출 항목은 휴대폰 번호·성명·주소·생년월일·이메일주소·아이디·USIM 고유번호 등 26개 항목이다.
올해 1월부터 LG유플러스의 개인정보 처리·운영 실태와 개인정보 보호법 준수 여부를 조사한 결과 고객인증시스템(CAS)의 서비스 운영 인프라와 보안 환경이 해커 등 불법 침입에 매우 취약한 상황으로 확인됐다. 고객인증시스템의 운영체제와 데이터베이스 관리시스템, 웹서버, 웹 애플리케이션 서버 등 상용 소프트웨어 대부분이 유출이 발생한 것으로 추정되는 2018년 6월 기준으로 단종되거나 기술지원이 종료된 상태였다.
불법침입과 침해사고 방지에 필요한 침입 차단 시스템(방화벽), 침입 방지 시스템(IPS), 웹 방화벽 등 기본적인 보안장비가 설치되지 않았거나, 보안정책이 제대로 적용되지 않았고, 일부는 기술지원이 중단된 상태였다.그뿐만 아니라 고객인증시스템 운영기에서 관리하는 실제 운영 데이터(개인 정보 포함)를 개발기, 검수기로 옮겨 테스트를 진행한 후, 일부 데이터를 방치해 2008년에 생성된 정보 등 1000만 건 이상의 개인정보가 조사 시점까지 남아 있었다. 다량의 개인정보를 관리하면서도 개인정보 취급자의 접근권한과 접속기록을 제대로 관리하지 않아 대규모 개인정보를 추출‧전송한 기록을 남기지 않고 비정상 행위 여부에 대한 점검‧확인이 안 되는 등 관리 통제도 부실한 상황이었다.
개인정보위는 타사 대비 저조한 정보보호, 보안 관련 투자와 노력 부족이 이번 개인정보 유출 사고로 이어졌다고 판단해 과징금과 과태료를 부과하기로 결정했다. 개인정보보호책임자(CPO)의 역할과 위상 강화, 개인 정보 보호 조직의 전문성 제고, 개인정보 내부 관리계획 재정립, 전반적인 시스템 점검 및 취약 요소 개선 등도 당부했다.
이승우 기자 leeswoo@hankyung.com