국민 다량의 개인정보 처리 및 책임 요구되는 통신사업자…보다 엄격한 관리·점검·보호 중요성 드러난 계기
[보안뉴스 이소미 기자] 개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 12일에 진행된 전체회의에서 대규모 개인정보 유출사고가 발생한 ‘LG유플러스’를 대상으로 전반적인 시스템 점검 및 취약부분 개선 등 재발 방지를 위한 시정 명령(안)과 함께 총 68억 원의 과징금과 2,700만 원의 과태료 부과를 결정했다.
![[보안뉴스 / 7.12.] LG유플러스의 개인정보 유출사고, 총 68억여원 과징금 부과](http://www.boannews.com/media/upFiles2/2023/07/845486553_1555.jpg)
[이미지=보안뉴스]
그동안 개인정보위는 지난 1월 해커에 의해 불법거래 사이트에 개인정보 약 60만 건(중복제거 시 약 30만 건)이 유출된 ‘엘지유플러스’에 대해 민관 합동조사단·경찰 등과 협조를 통해 조사를 진행해 왔다.
개인정보위와 한국인터넷진흥원(원장 이원태, 이하 KISA)이 분석한 결과, 유출이 확인된 개인정보는 총 297,117건(중복제거 시)으로 이용자의 △휴대전화번호 △성명 △주소 △생년월일 △이메일주소 △아이디 △USIM고유번호 등으로 총 26개 항목이다.
분석 결과에 따르면, 유출 시점은 지난 2018년 6월 경으로 LG유플러스가 보유한 여러 시스템 가운데 유출된 데이터와 가장 일치하는 데이터를 보관한 시스템은 고객인증시스템(CAS : Compound Authorization System)인 것으로 밝혀졌다. LG유플러스의 고객인증 시스템은 일부 부가서비스 제공과정에서 고객인증과 부가서비스 가입·해지 기능을 제공하는 시스템이다.
한편, 지난 1월부터 엘지유플러스의 개인정보 처리·운영 실태 및 개인정보 보호법 준수 여부를 조사한 결과, 크게 3가지를 위반한 것으로 드러났다.
첫째, 고객인증시스템(CAS)의 서비스 운영 인프라 및 보안 환경 열악
조사가 시작된 올해 1월까지 LG유플러스의 고객인증시스템(CAS)의 서비스 운영 인프라와 보안 환경은 매우 열악한 상황이었다. 해커 등의 공격자가 불법침입을 하기에 용이했던 것이다. 대부분의 상용 소프트웨어 유출이 발생한 것으로 추정되는 2018년 6월 기준으로 △고객인증시스템(CAS)의 운영체제(OS) △데이터베이스 관리시스템(DBMS) △웹서버(WEB) △웹 어플리케이션 서버(WAS) 등은 모두 단종되거나 기술 지원이 이미 종료된 상태였다.
또한, 불법침입과 침해사고 방지에 필요한 침입차단시스템(방화벽), 침입방지시스템(IPS), 웹방화벽 등 기본적인 보안장비가 설치되지 않았거나 설치 중이더라도 보안정책이 제대로 적용되지 않았고, 일부는 기술 지원이 중단된 상태였다. 특히, 고객인증시스템(CAS) 개발기에 2009년과 2018년에 업로드된 악성코드(웹셸)가 올해 1월까지도 삭제되지 않은 채 남아 있었고, ‘웹셸’에 대한 추가적인 점검이나 IPS의 웹셸 탐지·차단 정책은 전혀 적용되지 않고 있었다.
둘째, 고객인증시스템(CAS) 운영기 테스트 진행 후 별도 조치없이 일부 데이터 방치
LG유플러스의 고객인증시스템(CAS) 운영기에서 관리하는 실제 운영 데이터(개인정보 포함)를 개발기·검수기로 옮겨 테스트를 진행한 후, 일부 데이터를 방치해 2008년에 생성된 정보 등 1천만 건 이상의 개인정보가 조사 시점까지 남아 있었다. 참고로 엘지유플러스의 고객인증시스템(CAS)은 개발기·검수기·운영기로 나눠서 운영된다.
셋째, 다량의 개인정보에 대한 접근권한 및 접속기록 관리 미비와 비정상 행위 여부 탐지 기능 부실
LG유플러스는 다량의 개인정보를 관리하면서도, 개인정보취급자의 접근권한과 접속기록을 제대로 관리하지 않았다. 이로 인해 대규모 개인정보를 추출·전송한 기록을 남기지 않았고, 비정상 행위 여부에 대한 점검·확인조차 진행하지 않은 점 등 관리 통제 역시 부실한 상황이었다.
이에 개인정보위는 다수 국민의 개인정보를 처리하는 유·무선 통신사업자인 LG유플러스에 대해 엄격한 개인정보 관리가 요구됨에도 불구하고, 고객인증(CAS) 시스템의 전반적인 관리 부실과 함께 타사 대비 현저히 저조한 정보보호·보안 관련 투자와 노력 부족이 금번 개인정보 유출사고로 이어졌다고 판단했다. 따라서 개인정보위는 LG유플러스에 대해 개인정보보호법 위반으로 해당되는 과징금과 과태료를 부과하기로 결정했다.
![[보안뉴스 / 7.12.] LG유플러스의 개인정보 유출사고, 총 68억여원 과징금 부과](http://www.boannews.com/media/upFiles2/2023/07/845486553_6365.JPG)
▲엘지유플러스 개인정보보호 법규 위반사항에 따른 행정처분 내용[표=개인정보위]
아울러, 최근 3년간 보호법 위반사실이 존재하는 엘지유플러스에 대해 △개인정보보호책임자(CPO, Chief Privacy Officer)의 역할과 위상 강화 △개인정보 보호 조직의 전문성 제고 △개인정보 내부관리계획 재정립 △전반적인 시스템 점검 및 취약요소 개선 등의 시정명령을 내리렸다. 또한, 지난 1월 사고 이후 엘지유플러스 측에서 약속한 개인정보 보호 관련 각종 투자와 2차 피해 방지 대책을 차질 없이 이행할 것을 당부했다.
개인정보위는 이번 조치에 대해 “2018년 6월경에 발생한 유출로 분석됐으나 현재까지 지속된 해당 시스템 관리의 전반적인 부실 및 다수의 법규 위반으로 과징금이 부과된 건으로, 평소 다량의 개인정보를 보유·처리하는 사업자의 경우 개인정보 보호 관련 예산·인력의 투입을 비용이 아닌 투자로 파악하는 전기가 될 것”이라면서, “데이터 경제시대 개인정보 보호 관련 최고책임자(CPO) 및 조직이 기업경영에서 차지하는 역할과 중요성에 대해 재고하게 되는 계기가 될 것으로 기대한다”고 전했다.
[이소미 기자(boan4@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
![[보안뉴스 / 7.12.] LG유플러스의 개인정보 유출사고, 총 68억여원 과징금 부과](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")
