개인정보위, 고객인증시스템(CAS) 보안관리 허술 지적
LGU+, 상반기 사이버 보안에 640억 원 투자…"보안에 강한 회사 될 것"
개인정보보호위원회가 12일 전체회의에서 올해 초 파악된 LG유플러스 해킹사고로 유출된 고객 개인정보가 29만7000여 건으로 집계됐다고 밝혔다. 아울러 LG유플러스의 보안 관련 정책이 미흡했던 부분을 지적하며 재발방지책 마련을 주문했다. /더팩트DB |
[더팩트|최문정 기자] 올해 초 밝혀진 LG유플러스 해킹사고로 유출된 고객 개인정보가 총 29만7000여건으로 집계됐다. 개인정보보호위원회는 LG유플러스의 시스템 보안과 개인정보 관리가 허술했다며 과징금 68억 원을 부과했다. LG유플러스는 보안 관련 비용 투자를 늘리는 등 재발방지 대책 마련에 적극적으로 나선다는 구상이다.
개인정보보호위원회는 12일 전체회의를 열고 29만7000여건의 고객 정보가 유출된 LG유플러스에 과징금 68억 원과 과태료 2700만 원을 각각 부과하고, 재발 방지를 위한 시정조치를 내렸다.
개인정보위는 지난 1월 LG유플러스 회원정보 약 60만 건이 불법 거래사이트를 통해 거래되고 있다는 사실을 파악한 뒤, 한국인터넷진흥원(KISA) 등 민관합동조사단, 경찰 등과 함께 조사를 벌여왔다.
개인정보위와 KISA는 유출된 개인정보는 중복을 제거하고 총 29만7117건으로 집계됐다. 유출 항목은 휴대전화 번호·성명·주소·생년월일·이메일주소·아이디·유심(USIM)고유번호 등 26개의 항목이다.
이들 정보가 유출된 시점은 2018년 6월경으로 파악됐다. 특히 LG유플러스가 일부 부가서비스를 제공하는 과정에서 고객인증과 부가서비스 가입·해지 기능을 제공하는 고객인증시스템(CAS) 데이터가 집중 유출된 것으로 확인됐다.
개인정보위 조사 결과, LG유플러스의 CAS의 서비스 운영 인프라와 보안 환경이 해커 등 불법 침입에 상당히 취약했던 것으로 드러났다. CAS의 운영체제(OS)와 데이터베이스 관리시스템, 웹서버, 웹 애플리케이션 서버 등 상용 소프트웨어 대부분이 2018년 6월을 기준으로 단종됐거나, 기술지원이 끝난 상황이었다. 더욱이 방화벽과 침입방지시스템(IPS), 웹방화벽 등 기본적인 보안장비도 설치되지 않았던 것으로 나타났다.
또한 CAS 개발기에는 2009년과 2018년 업로드한 악성코드가 올해 1월까지도 삭제되지 않은 채 남아있었다. 이에 대한 점검이나 IPS의 악성코드 탐지·차단 정책도 적용되지 않아 피해를 키웠다는 지적이다.
아울러, 개인정보위는 LG유플러스가 다량의 개인정보를 관리하면서도 개인정보취급자의 접근권한과 접속기록을 제대로 관리하지 않았다고 밝혔다.
개인정보위는 조사결과를 종합해 LG유플러스가 다수 국민의 개인정보를 처리하는 유·무선 통신사업자로, 엄격한 개인정보 관리가 요구되지만, 고객인증시스템의 전반적인 관리 부실과 함께 타사 대비 현저히 저조한 정보보호·보안 관련 투자와 노력 부족이 개인정보 유출사고로 이어졌다고 봤다. 이에 LG유플러스에 대해 개인정보보호법 위반으로 과징금·과태료를 부과한다는 설명이다.
또한 LG유플러스가 최근 3년간 보호법 위반사실이 있는 만큼, 개인정보보호책임자(CPO)의 역할과 위상 강화, 개인정보 보호 조직의 전문성 제고, 개인정보 내부관리계획 재정립, 전반적인 시스템 점검과 취약요소 개선 등을 시정명령했다.
LG유플러스는 상반기 사이버 보안 강화를 위해 약 640억 원을 집행했다. 특히 △취약성 점검 △통합 모니터링 관제 △인프라 투자를 중심으로 투자를 집행했다는 설명이다. LG유플러스는 하반기에는 전체 방화벽에 대한 정책관리 솔루션을 통해 관제 정책 등을 제로베이스에서 점검하고 강화할 계획이다. 내년에는 웹방화벽도 이중, 삼중으로 추가 투입해 개인 간 거래(B2C)와 기업 간 거래(B2B) 영역 전반에서 인프라 보안 체계를 더욱 고도화해 나갈 예정이다.
LG유플러스는 "이번 일로 불편을 겪으셨을 고객분들께 다시 한번 고개 숙여 사과의 말씀을 드린다"며 "지난 2월 1000억원 규모의 정보보호투자 계획을 포함한, 전사적 차원의 재발방지 대책을 추진하고 있으며, 앞으로 고객분들께 신뢰를 드릴 수 있는, 보안에 강한 회사로 거듭나겠다"고 밝혔다.
munn09@tf.co.kr