[디지털데일리 이종현기자] 연초 개인정보 유출 사고를 겪은 LG유플러스에 대한 개인정보보호위원회(이하 개인정보위)의 판단이 내려졌다. 과징금 68억원과 과태료 2700만원이다. 전반적인 시스템 점검·취약부분 개선 등 시정조치가 내려진 가운데 LG유플러스는 올해 정보보호에 1000억원을 투입한다는 계획이다. 이는 기존의 3배에 달하는 금액이다.

12일 개인정보위는 전체회의를 개최해 LG유플러스에 대한 과징금 및 시정조치(안)을 의결했다.

이번 사건은 지난 1월 해커들이 이용하는 해킹포럼에 LG유플러스의 데이터가 업로드된 건이다. <디지털데일리>의 최초 보도 이후 개인정보위는 경찰, 한국인터넷진흥원(KISA) 등과 함께 조사를 진행했다.

개인정보위와 KISA의 분석 결과 유출이 확인된 개인정보는 약 60만건 중 중복 정보 제거시 총 29만7117건으로 확인됐다. 유출 항목은 휴대전화번호, 이름, 주소, 생년월일, 이메일주소, 아이디, 유심(USIM) 고유번호 등 26개 항목이다. LG유플러스의 여러 시스템 중 유출된 데이터와 가장 일치하는 데이터를 보관하는 시스템은 고객인증시스템(CAS)로, 유출 시점은 2018년6월경으로 분석·확인됐다.

조사가 시작된 2023년1월까지 고객인증시스템의 서비스 운영 인프라와 보안 환경은 해커 등의 불법침입에 매우 취약한 상황이었다는 것이 개인정보위의 설명이다.

개인정보위는 LG유플러스 고객인증시스템의 운영체제(OS), 데이터베이스관리시스템(DBMS), 웹서버, 웹애플리케이션서버(WAS) 등 상용 소프트웨어(SW) 대부분은 유출이 시작된 것으로 추정되는 2018년6월 기준으로 단종되거나 기술지원이 종료된 상태였다고 지적했다.

이와 함께 불법침입과 침해사고 방지에 필요한 방화벽, 침입방지시스템(IPS) 등 기본적인 보안 장비가 설치되지 않았거나 설치됐더라도 보안 정책이 제대로 적용되지 않았다는 점도 확인됐다. 이 역시도 일부는 기술지원이 종료됐다.

특히 고객인증시스템 개발기에 2009년과 2018년에 업로드된 악성코드(웹셸)이 2023년1월까지 삭제되지 않고 남아 있었고, 웹셸에 대한 점검이나 IPS의 웹셸 탐지·차단 정책은 적용되지 않았다.

이와 함께 고객인증시스템 운영기에서 관리하는, 개인정보를 포함한 실제 운영 데이터를 개발기 검수기로 옮겨 테스트를 진행한 후 일부 데이터를 방치에 2008년에 생성된 정보 등 1000만건 이상의 개인정보가 조사 시점에 확인되기도 했다.

다량의 개인정보를 관리할 경우 접근권한과 접속기록을 관리해야 한다는 기본적인 조치도 소홀히 했고, 대규모 개인정보를 추출·전송한 기록을 남기지 않고 비정상 행위 여부에 대한 점검·확인이 안 되는 등 관리 통제도 부실하다.

개인정보위는 LG유플러스가 다수 국민의 개인정보를 처리하는 유‧무선 통신사업자로서 엄격한 개인정보 관리가 요구됨에도 불구하고, 고객인증시스템의 전반적인관리 부실과 함께 타사 대비 현저히 저조한 정보보호‧보안 관련 투자와 노력 부족이 금번 개인정보 유출사고로 이어졌다고 지적했다.

또 최근 3년간 보호법 위반사실이 존재하는 LG유플러스에 대해 개인정보보호책임자(CPO)의 역할과 위상 강화, 개인정보보호 조직의 전문성 제고, 개인정보 내부 관리 계획 재정립, 전반적인 시스템 점검 및 취약요소 개선 등을 시정명령하며 지난 1월 사고 이후 LG유플러스에서 약속한 개인정보 보호 관련 각종 투자와 2차 피해방지 대책을 차질 없이 이행할 것을 당부했다.

개인정보위 관계자는 “이번 조치는 2018년6월경 발생한 유출로 분석됐으나 현재까지 지속된 해당 시스템 관리의 전반적 부실 및 다수의 법규위반으로 과징금이 부과된 건으로, 평소 다량의 개인정보를 보유·처리하는 사업자의 경우 개인정보 보호 관련 예산·인력의 투입을 비용이 아닌 투자로 파악하는 전기가 될 것으로 기대한다”고 말했다.

이어서 “데이터 경제시대 개인정보 보호 관련 최고책임자(CPO) 및 조직이 기업경영에서 차지하는 역할과 중요성에 대해 재고하게 되는 계기가 될 것”이라고 부연했다.