개인정보보호위원회(개인정보위)가 7월 12일 전체회의에서 개인정보 유출 사고가 발생한 엘지유플러스에 대해 과징금 68억 원과 과태료 2700만 원을 부과하고, 전반적인 시스템 점검 및 취약 부분 개선 등 재발 방지를 위한 시정 조치(안)를 의결했다.

지난 1월 해커에 의해 불법 거래 사이트에 개인정보 약 60만 건이 공개된 엘지유플러스에 대해, 그동안 개인정보위는 민관 합동조사단, 경찰 등과 협조하여 조사를 진행해 왔다.

개인정보위와 한국인터넷진흥원(KISA)이 분석한 결과, 유출이 확인된 개인정보는 총 29만 7117건(중복 제외 시)으로 유출 항목은 휴대전화 번호, 이름, 주소, 생년월일, 이메일 주소, 아이디, USIM 고유 번호 등 26개의 항목이다.

엘지유플러스의 여러 시스템 중 유출된 데이터와 가장 일치하는 데이터가 보관된 시스템은 고객인증시스템(CAS)이었으며, 유출 시점은 2018년 6월 경인것으로 분석됐다. 고객인증시스템(CAS)은 엘지유플러스의 일부 부가 서비스 제공 과정에서 고객 인증과 부가 서비스 가입과 해지 기능을 제공하는 시스템이다.

지난 1월부터 엘지유플러스의 개인정보 처리‧운영 실태와 개인정보 보호법 준수 여부를 조사한 결과, 확인된 주요 위반 사항은 다음과 같다.

▲첫째, 조사가 시작된 2023년 1월까지 고객인증시스템의 서비스 운영 인프라와 보안 환경은 해커 등의 불법 침입에 매우 취약한 상황이었다.

유출이 발생한 것으로 추정되는 2018년 6월 기준, 고객인증시스템의 운영체제, 데이터베이스 관리 시스템(DBMS), 웹 서버(WEB), 웹 애플리케이션 서버(WAS) 등 상용 소프트웨어 대부분이 단종되거나 기술 지원이 종료된 상태였다.

또한 불법 침입과 침해 사고 방지에 필요한 침입 차단 시스템(방화벽), 침입 방지 시스템(IPS), 웹 방화벽 등 기본적인 보안 장비가 설치되지 않았거나 설치 중이더라도 보안 정책이 제대로 적용되지 않았고, 일부는 기술 지원이 중단된 상태였다.

특히, 고객인증시스템 개발기에 2009년과 2018년에 업로드된 악성코드(웹셸)가 2023년 1월까지 삭제되지 않고 남아 있었으며 웹셸에 대한 점검이나 IPS의 웹셸 탐지‧차단 정책은 적용되지 않았다.

▲둘째, 엘지유플러스는 고객인증시스템을 개발기, 검수기, 운영기로 나눠서 운영 중이었는데, 운영기에서 관리하는 실제 운영 데이터(개인정보 포함)를 개발기와 검수기로 옮겨 테스트를 진행한 후 일부 데이터를 방치해 2008년에 생성된 정보 등 1천만 건 이상의 개인정보가 조사 시점까지 남아 있었다.

▲셋째, 다량의 개인정보를 관리하면서도 개인정보취급자의 접근 권한과 접속 기록을 제대로 관리하지 않아 대규모 개인정보를 추출‧전송한 기록을 남기지 않고 비정상 행위 여부에 대한 점검‧확인이 안되는 등 관리 통제도 부실한 상황이었다.

개인정보위는 엘지유플러스가 다수 국민의 개인정보를 처리하는 유무선 통신 사업자로서 엄격한 개인정보 관리가 요구됨에도 불구하고 고객인증시스템의 전반적인 관리 부실과 함께 타사 대비 현저히 저조한 정보 보호 및 보안 관련 투자와 노력 부족으로 개인정보 유출 사고의 빌미를 제공했다고 판단했다.

이에 개인정보위는 엘지유플러스에 대해 보호법 위반으로 과징금과 과태료를 부과하고, 최근 3년간 보호법 위반 사실이 존재함에 따라 개인정보보호책임자(CPO, Chief Privacy Officer)의 역할과 위상 강화, 개인정보 보호 조직의 전문성 제고, 개인정보 내부 관리 계획 재정립, 전반적인 시스템 점검 및 취약 요소 개선 등을 시정 명령 하기로 결정했다.

한편, 개인정보위는 이번 사례에 대해 2018년 6월경 발생한 유출로 분석되었으나 현재까지 지속된 해당 시스템 관리의 전반적 부실 및 다수의 법규 위반으로 과징금이 부과된 건으로, 평소 다량의 개인정보를 보유·처리하는 사업자의 경우 개인정보 보호 관련 예산·인력의 투입을 비용이 아닌 투자로 파악하는 전기가 될 것으로 기대한다고 덧붙였다.

석주원 기자 다른기사 보기