LG유플러스가 개인정보 유출로 국내 기업 중 역대 최대 수준의 과징금 제재를 받게 됐다. 올해 초 사이버 보안 혁신 활동을 공표한 LG유플러스는 올 상반기에만 보안 부문에 640억원을 투자하며 관련 사고 재발을 방지하겠다는 방침이다.
개인정보보호위원회는 12일 전체회의를 열고 고객 개인정보를 유출한 LG유플러스에 과징금 68억원, 과태료 2천700만원과 함께 시정명령 제재를 의결했다.
LG유플러스는 지난 1월 해커에 의해 불법거래 사이트에 개인정보 약 60만건, 중복건을 고려하면 약 30만건이 공개됐다.
개인정보위와 한국인터넷진흥원(KISA)이 분석한 결과, 유출이 확인된 개인정보는 총 29만7천117건이다. 유출 항목은 휴대전화번호, 성명, 주소. 생년월일. 이메일주소. 아이디·, USIM고유번호 등 26개의 항목이다.
유출된 데이터와 유사한 LG유플러스 시스템 데이터는 고객인증시스템(CAS)이며, 유출시점은 2018년 6월 경으로 분석됐다. 고객인증 시스템은 LG유플러스의 일부 부가서비스 제공과정에서 고객인증과 부가서비스 가입 해지 기능을 제공하는 시스템이다.
조사가 시작된 올해 1월까지 고객인증시스템의 서비스 운영 인프라와 보안 환경은 해커 등의 불법침입에 매우 취약한 상황으로 나타났다. 고객인증시스템 운영체제(OS), 데이터베이스 관리시스템 등 대부분에서 유출이 발생한 것으로 추정되는 2018년 6월 기준으로 단종되거나 기술지원이 종료된 상태다.
또한 불법침입과 침해사고 방지에 필요한 침입차단시스템(방화벽), 침입방지시스템(IPS), 웹방화벽 등 기본적인 보안장비가 설치되지 않았거나 설치 중이더라도 보안정책이 제대로 적용되지 않았다.
다량의 개인정보를 관리하면서도 개인정보취급자의 접근권한과 접속기록을 제대로 관리하지 않아 대규모 개인정보를 추출‧전송한 기록을 남기지 않고 비정상 행위 여부에 대한 확인이 이뤄지지 않은 점도 문제로 꼽혔다.
이에 따라, 개인정보위는 LG유플러스에 대해 3년간 보호법 위반사실 있는 것으로 판단하고 ▲개인정보보호책임자(CPO) 역할과 위상 강화 ▲개인정보 보호 조직의 전문성 제고 ▲개인정보 내부관리계획 재정립, 전반적인 시스템 점검 및 취약요소 개선 등을 시정명령으로 의결했다.
아울러 LG유플러스에서 약속한 개인정보 보호 관련 각종 투자와 2차 피해방지 대책을 차질 없이 이행할 것을 당부했다.
LG유플러스는 이에 대해 올해 상반기에만 사이버 보안에 640억원의 투자를 집행했다고 밝혔다. 하반기 투자를 더해 올해에만 총 1천50억원을 사이버 보안에 투자한다는 계획이다. 이는 전년 대비 3배에 달하는 규모다.
상반기 사이버 보안 투자를 구체적으로 살펴보면 우선 취약성 점검에 약 200억원을 투입했다. 통합 모니터링 관제에는 약 196억원을 투자했다. 마곡사옥에 통합 관제센터를 구축해 분산된 사이버 보안 기능을 한 곳에 모은 것이다.
관련기사
- 네이버-LG유플러스, 음악·콘텐츠 시너지로 미디어 경쟁력 강화2023.01.18
- 개인정보위, 개인정보 보호 기능 시범인증 실시2023.07.04
- "급변하는 AI시대, 범국가 개인정보 보호체계 필수"2023.06.24
- "개인정보 보호법, 현실 반영한 개선 시급"2023.06.23
아울러 보안 인프라 투자에 172억원을 집행했다. 하반기에는 전체 방화벽에 대한 정책관리 솔루션을 통해 관제 정책 등을 제로베이스에서 점검하고 강화할 계획이다. 내년에는 웹방화벽도 이중, 삼중으로 추가 투입해 B2B B2C 인프라 보안 체계를 더욱 고도화해 나갈 예정이다.
LG유플러스는 이밖에 ▲정보보호 전담 인력 강화 ▲보안 조직 확대·개편 ▲최고정보보호책임자(CISO) 영입 ▲‘정보보호자문위원회’ 신설을 통한 보안 검증 체계 강화 ▲인재 육성을 위한 숭실대학교 연계 정보보호학과 운영 등을 추진하고 있다.
