'개인정보 30만건 유출'된 LGU＋ 과징금 68억원 ‘역대 최대’

개인정보보호위원회는 12일, 개인정보 유출사고가 발생한 LG유플러스에 과징금 68억원과 과태료 2천700만원을 부과했다고 밝혔다.

개인정보위는 지난 1월 해커의 공격으로 고객 개인정보 약 60만건(중복 제거시 약 30만건)이 공개된 LG유플러스에 대해 민관 합동조사단·경찰 등과 협조해 조사를 진행해 왔다.

개인정보위와 한국인터넷진흥원 분석한 결과 유출이 확인된 개인정보는 총 29만7117건(중복제거시)으로 유출 항목은 휴대전화번호·성명·주소·생년월일·이메일주소·아이디·USIM고유번호 등 26개의 항목이다.

LG유플러스의 여러 시스템 중 유출된 데이터와 가장 일치하는 데이터를 보관하는 시스템은 고객인증시스템(CAS)로 파악되며, 유출 시점은 2018년 6월경으로 분석 확인됐다.

LG유플러스 CAS의 운영체제(OS)·데이터베이스 관리시스템(DBMS)·웹서버(WEB)·웹 어플리케이션 서버(WAS) 등 상용 소프트웨어 대부분이 유출이 발생한 것으로 추정되는 2018년 6월 기준으로 단종되거나 기술지원이 종료된 상태였다

또 불법침입과 침해사고 방지에 필요한 침입차단시스템(방화벽) 등 기본적인 보안장비가 설치되지 않았거나, 설치 중이더라도 보안정책이 제대로 적용되지 않았다. 일부는 기술지원이 중단된 상태였다.

또한 CAS 개발기에 2009년과 2018년 업로드된 악성코드(웹셸)가 지난 1월까지 삭제되지 않고 남아 있었고, 웹셸에 대한 점검이나 IPS의 웹셸 탐지‧차단 정책은 적용되지 않고 있었다.

또 CAS 운영기에서 관리하는 실제 운영 데이터(개인정보 포함)를 살펴본 결과 일부 데이터가 방치되어 2008년에 생성된 정보 등 1천만 건 이상의 개인정보가 조사 시점까지 남아 있었던 사실도 확인됐다.

개인정보위는 "CAS의 전반적인 관리 부실과 함께 타사 대비 현저히 저조한 정보보호‧보안 관련 투자와 노력부족이 이번 개인정보 유출사고로 이어졌다고 판단한다"라고 밝혔다.