▲ 사진=개인정보위원회

개인정보보호위원회가 12일 약 30만건의 고객 정보가 유출된 LG유플러스에 과징금 68억원과 과태료 2700만원을 각각 부과했다.

LGU+는 지난 1월 회원 정보 약 60만건(중복 제거시 약 30만건)이 불법 거래사이트에서 판매되고 있다는 사실이 알려진 뒤 개인정보위는 한국인터넷진흥원(KISA) 등 민관합동조사단, 경찰 등과 함께 조사를 진행해왔다.

개인정보위와 한국인터넷진흥원이 분석한 결과 유출이 확인된 개인정보는 중복제거시 총 29만7117건 유출 항목은 휴대전화번호·성명·주소·생년월일·이메일주소·아이디·USIM고유번호 등 26개의 항목으로 드러났다.

특히 LG유플러스가 일부 부가 서비스를 제공하는 과정에서 고객인증과 부가서비스 가입·해지 기능을 제공하는 고객인증시스템(CAS)의 데이터가 집중적으로 유출된 것으로 확인됐다. 유출시점은 2018년 6월인 것으로 분석됐다.

LG유플러스의 시스템 보안 및 개인정보 관리 상태는 조사가 시작된 지난 1월까지 해킹에 취약한 상태였다.

고객인증시스템(CAS)의 운영체제(OS), 데이터베이스 관리시스템(DBMS), 웹서버(WEB), 웹 애플리케이션 서버(WAS) 등 상용 소프트웨어 대부분이 유출 발생 추정시점(2018년 6월 )을 기준으로 단종됐거나 기술지원이 끝난 상태였다.

또 침입차단시스템(방화벽), 침입방지시스템(IPS), 웹방화벽 등 보안장비가 설치되지 않았다. 설치 중이더라도 보안정책이 제대로 적용되지 않거나 일부는 기술지원이 중단된 상태였다.

게다가 고객인증시스템(CAS) 운영기에서 관리하는 실제 운영 데이터(개인정보 포함)를 일부 방치해 2008년에 생성한 정보 등 1000만건 이상의 개인정보가 조사 시점까지 남아 있던 사실도 확인됐다.

개인정보위는 “고객인증시스템 관리가 전반적으로 부실했고 다수의 법규위반으로 과징금을 부과했다”며 “평소 다량의 개인정보를 보유‧처리하는 사업자의 경우 개인정보 보호 관련 예산‧인력 투입을 비용이 아닌 투자로 파악하는 전기가 될 것”이라고 전했다.

토요경제 / 최영준 기자 cyj@sateconomy.co.kr 

[저작권자ⓒ 토요경제. 무단전재-재배포 금지]