‘개인정보 유출’ LG유플러스에 과징금 68억원, 과태료 2700만원 부과
대규모 개인정보 유출 사고가 발생한 LG유플러스가 역대 최대규모 과징금을 물게 됐다.
개인정보보호위원회(이하 개인정보위)는 12일 전체회의를 개최해 LG유플러스에 대해 과징금 68억원과 과태료 2700만원을 부과하고, 전반적인 시스템 점검과 취약부분 개선 등 재발 방지를 위한 시정조치를 의결했다고 밝혔다.
LG유플러스는 지난 1월 해커에 의해 불법거래 사이트에 개인정보 약 60만건(중복 제거시 약 30만건)이 공개됐다. 이에 개인정보위는 그동안 민·관 합동조사단·경찰 등과 협조해 조사를 진행해 왔다.
개인정보위와 한국인터넷진흥원(KISA)이 분석한 결과, 유출이 확인된 개인정보는 총 29만7117건(중복제거시)으로 유출 항목은 휴대전화번호·성명·주소·생년월일·이메일주소·아이디·유심(USIM)고유번호 등 26개의 항목이다. LG유플러스의 여러 시스템 중 유출된 데이터와 가장 일치하는 데이터를 보관하는 시스템은 고객인증시스템(CAS)인 점과, 유출시점은 2018년 6월 즈음으로 분석·확인됐다.
개인정보위에 따르면, 지난 1월부터 LG유플러스의 개인정보 처리‧운영 실태와 개인정보보호법 준수여부를 조사한 결과 이 회사는 조사가 시작된 2023.1월까지 CAS의 서비스 운영 인프라와 보안 환경은 해커 등의 불법 침입에 매우 취약한 상황이었던 것으로 확인됐다. CAS의 운영체제(OS), 데이터베이스 관리시스템(DBMS), 웹서버(WEB), 웹 애플리케이션 서버(WAS) 등 상용 소프트웨어 대부분이 유출이 발생한 것으로 추정되는 2018년 6월 기준으로 단종되거나 기술지원이 종료된 상태였다.
또 불법침입과 침해사고 방지에 필요한 침입차단시스템(방화벽), 침입방지시스템(IPS), 웹방화벽 등 기본적인 보안장비가 설치되지 않았거나 설치 중이더라도 보안정책이 제대로 적용되지 않았고, 일부는 기술지원이 중단된 상태였던 것으로 나타났다.
특히, CAS 개발기에 2009년과 2018년에 업로드된 악성코드(웹쉘)가 2023년 1월까지도 삭제되지 않은 채 남아 있었고, 웹쉘에 대한 점검이나 IPS의 웹쉘 탐지‧차단 정책은 적용되지 않고 있었다.
아울러 CAS 운영기에서 관리하는 실제 운영 데이터(개인정보 포함)를 개발기, 검수기로 옮겨 테스트를 진행한 후, 일부 데이터를 방치해 2008년에 생성된 정보 등 1000만건 이상의 개인정보가 조사 시점까지 남아 있었다.
뿐만 아니라 다량의 개인정보를 관리하면서도, 개인정보취급자의 접근권한과 접속기록을 제대로 관리하지 않아 대규모 개인정보를 추출‧전송한 기록을 남기지 않고 비정상 행위 여부에 대한 점검‧확인이 안되는 등 관리 통제도 부실한 상황이었다.
개인정보위는 다수 국민의 개인정보를 처리하는 유‧무선 통신사업자로서 엄격한 개인정보 관리가 요구됨에도 불구하고 고객인증(CAS) 시스템의 전반적인 관리 부실과 함께 타사 대비 현저히 저조한 정보보호‧보안 관련 투자와 노력 부족이 이번 개인정보 유출사고로 이어졌다고 판단했다.
이에 과징금과 과태료 결정에 더해, 최근 3년간 보호법 위반사실이 존재하는 LG유플러스에 대해 개인정보보호책임자(CPO)의 역할과 위상 강화, 개인정보 보호 조직의 전문성 제고, 개인정보 내부관리계획 재정립, 전반적인 시스템 점검 및 취약요소 개선 등을 시정명령하기로 했다. LG유플러스는 지난 2020년 12월 수탁자에 대한 관리·감독 소홀, 개인정보 보호조치(접근통제) 위반으로 과징금·과태료 처분을 받은 바 있다.
개인정보위는 지난 1월 사고 이후 LG유플러스에서 약속한 개인정보 보호 관련 각종 투자와 2차 피해방지 대책을 차질 없이 이행할 것도 당부했다.
개인정보위는 “이번 조치는 2018년 6월경 발생한 유출로 분석됐으나 현재까지 지속된 해당 시스템 관리의 전반적 부실 및 다수의 법규위반으로 과징금이 부과된 건으로, 평소 다량의 개인정보를 보유·처리하는 사업자의 경우 개인정보 보호 관련 예산·인력의 투입을 비용이 아닌 투자로 파악하는 전기가 될 것”이라며 “데이터 경제시대 개인정보보호 관련 최고책임자(CPO) 및 조직이 기업경영에서 차지하는 역할과 중요성에 대해 재고하게 되는 계기가 될 것으로 기대한다”고 밝혔다.
앞서 과기정통부는 지난 4월 27일 민·관 합동조사단이 실시한 LG유플러스 침해사고 원인분석 및 조치방안 결과를 발표한 바 있다. 그 결과에 따르면, LG유플러스에서 발생한 대량 고객 개인정보 유출과 분산서비스 거부 공격(DDoS, 디도스)으로 인한 장애는 총체적인 보안체계 부실과 정보보호 투자와 인력 부족이 핵심 원인으로 나타났다. 이상징후를 감시하고 차단할 수 있는 보안 장비가 부재한 것은 물론이고, 고객 정보가 담긴 시스템 관리자 계정을 초기암호(admin) 설정 그대로 운영해왔고 취약점도 고스란히 노출돼 있었다. 공격 대상이 될 수 있는 통신사 네트워크 장비의 정보가 외부로 노출돼 있는 채 운영하고, 기본이라 할 수 있는 접근제어 정책(ACL, Access Control List)같은 보안조치도 부재했다.
LG유플러스, 상반기 동안 사이버 보안 투자 640억원 집행…올해 총 1050억 투입
한편, 이날 LG유플러스(대표 황현식)는 사고 이후 지난 2월 사이버 보안 혁신 활동’을 공표하며 정보보호 투자 규모를 기존 대비 3배 이상인 1000억원 수준으로 늘리겠다고 밝힌 이후 넉 달 만에 사이버 보안 강화를 위해 약 640억원을 집행했다고 알렸다.
LG유플러스는 지난 6월까지 연간 투자액 1050억원의 절반 이상인 640억원의 집행을 확정했다. 총 110가지의 추진 과제 중 주요 투자 부문은 ▲취약성 점검 ▲통합 모니터링 관제 ▲인프라 투자 등이다.
가장 많은 비용이 집행된 부문은 약 200억원이 투입된 ‘취약성 점검’이다. 사이버 보안의 기반이라고 할 수 있는 방어 체계를 공고히 해, 이슈 발생을 기술적으로 막겠다는 취지다. LG유플러스는 이를 위해 외부 전문가들을 통한 모의해킹 등을 준비하고 있다.
‘통합 모니터링 관제’에는 약 196억원을 투자한다. LG유플러스는 이에 대한 세부과제 중 하나로 마곡사옥 1층에 통합 관제센터를 구축하고 있다. 그간 분산되어 각각의 기능을 하던 관제센터를 말그대로 한 곳으로 합쳐, 사이버 보안의 신속 대응 체계를 갖춘다는 계획이다.
보안 인프라 투자액으로는 약 172억원을 집행한다. 하반기 중 전체 방화벽에 대한 정책관리 솔루션을 통해 관제 정책 등을 제로(0)베이스에서 점검하고 강화할 계획이다. 2024년에는 웹방화벽도 이중, 삼중으로 추가 투입해 B2B·B2C 인프라 보안 체계를 더욱 고도화해 나갈 예정이다.
LG유플러스는 이 밖에도 ▲정보보호 전담 인력 강화 ▲보안 조직 확대·개편 ▲최고정보보호책임자(CISO) 영입 ▲‘정보보호자문위원회’ 신설을 통한 보안 검증 체계 강화 ▲인재 육성을 위한 숭실대학교 연계 정보보호학과 운영 등을 추진 중이다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network