［뉴시안= 조현선 기자］LG유플러스의 사이버 해킹사고로 유출된 개인정보가 총 29만7000여건에 달하는 것으로 나타났다. 개인정보보호위원회는 LG유플러스의 시스템 보안·개인정보 관리가 허술했다고 보고 과징금 68억원을 부과했다.

개인정보보호위원회는 12일 전체회의를 열고 LG유플러스에 개인정보보호법 위반에 대한 과징금 68억원과 과태료 2700만원을 각각 부과했다. 이와 함께 재발 방지를 위한 시정조치도 내렸다.

개인정보위는 지난 1월 LG유플러스의 회원 정보 약 60만건(중복 제거시 약 30만건)이 불법 거래사이트에서 판매되고 있다는 사실이 알려지자 한국인터넷진흥원(KISA) 등 민관합동조사단, 경찰 등과 함께 조사를 진행해왔다.

조사 결과에 따르면 유출된 개인정보는 총 29만7117건(중복 제거시)으로, 유출 항목은 휴대전화번호·성명·주소·생년월일·이메일주소·아이디·유심(USIM)고유번호 등 26개의 항목인 것으로 조사됐다.

이들 중 대부분이 2018년 6월 유출된 것으로 나타났다. LG유플러스가 일부 부가 서비스를 제공하는 과정에서 고객인증과 부가서비스 가입·해지 기능을 제공하는 고객인증시스템(CAS)의 데이터가 집중적으로 유출된 것으로 파악됐다.

특히 올해 1월 기준 LG유플러스의 고객인증시스템(CAS)의 서비스 운영 인프라와 보안 환경은 해커 등 불법 침입에 취약한 상태인 것으로 조사됐다. CAS의 운영체제(OS), 데이터베이스 관리시스템(DBMS), 웹서버(WEB), 웹 애플리케이션 서버(WAS) 등 상용 소프트웨어 대부분이 유출 발생 추정시점(2018년 6월 )을 기준으로 단종됐거나 기술지원이 끝난 상태였다. 침입차단시스템(방화벽), 침입방지시스템(IPS), 웹방화벽 등 기본적인 보안장비가 구비되지 않았고, 설치 중이더라도 보안정책이 제대로 적용되지 않았고, 일부는 기술지원이 중단된 상태였다.

아울러 CAS 개발기에는 2009년과 2018년 업로드한 악성코드(웹셸)가 올해 1월까지 삭제되지 않은 채로 남아 있었다. 웹셸에 대한 점검이나 IPS의 웹셸 탐지·차단 정책도 적용되지 않고 있었던 것으로 조사됐다. 

특히 CAS 운영기에서 관리하는 실제 운영 데이터(개인정보 포함)를 개발기, 검수기로 옮겨 텍스트를 진행한 뒤 데이터를 삭제하지 않은 점도 확인됐다. 2008년 생성한 정보 등 1000만건 이상의 개인정보가 조사 시점까지 남아 있던 것으로 드러났다. LG유플러스는 CAS를 개발기, 검수기, 운영기로 나눠 운영해 오고 있다. 

개인정보위는 또 LG유플러스가 개인정보취급자의 접근권한과 접속기록을 제대로 관리하지 않았다고 판단했다.

종합적으로 개인정보위는 LG유플러 스가 다수 국민의 개인정보를 처리하는 유·무선 통신사업자임에도 불구하고 CAS 시스템의 관리 부실과 타사 대비 현저히 저조한 정보보호·보안 관련 투자와 노력 부족이 개인정보 유출사고로 이어졌다고 봤다.

이에 LG유플러스에 대해 개인정보보호법 위반으로 과징금·과태료를 부 과하 기로 결정했다.   또한 △개인정보보호책임자(CPO)의 역할과 위상 강화  △개  인정보 보호 조직의 전문성 제고 △개 인정보  내부관리계획 재정립 △전반적인 시스템 점검  및 취약요소 개선  등을 시정명 령하기로 했 다 . 특히  앞서 LG유플러스가  약속한 개인정보 보호 관련 투자 및 2차 피해방지 대책을 이행할 것을 당부했다.

LG유플러스는 "이번 일 로 불편을 겪으셨을 고객분들께 다시  한번 고객 숙여 사과의 말씀을 드린다"며 "정보보호투자 계획을 포함한, 전사적 차원의 재발방지 대책을 추진하고 있다. 앞으로 고객분들께 신뢰를 드릴 수 있는, 보안에 강한 회사로 거듭나겠다"고 밝혔다.

한편 LG유플러스는 사이버 보안 강화를 위해 지난 상반기에만 약 640억원을 집행한 것으로 나타났다. 정보보호 투자 규모를 기존 대비 3배 이상인 1000억원 수준으로 늘리겠다고 밝힌 지 4달 만이다. 앞서 LG유플러스는 '사이버 보안 혁신 활동'을 공표하고, 정보보호 투자액 확대를 예고한 바 있다. 총 110가지의 추진 과제 중 주요 투자 부문은 △취약성 점검 △통합 모니터링 관제 △인프라 투자 등으로 나타났다.