[천지일보=정다준 기자] LG유플러스가 약 30만명의 고객 정보를 해킹당한 것과 관련해 정부로부터 과징금 68억원과 과태료 2700만원을 부과받았다.
개인정보보호위원회(개인정보위)는 12일 전체회의를 개최해 개인정보 유출사고가 발생한 LG유플러스에 대해 이 같은 처분을 내리고 전반적인 시스템 점검 및 취약 부분 개선 등 재발 방지를 위한 시정조치(안)을 의결했다.
개인정보위는 지난 1월 해커에 의해 불법거래 사이트에 개인정보 약 60만건(중복 제거시 약30만건)이 공개된 LG유플러스에 대해 민관 합동조사단·경찰 등과 협조해 조사를 진행해 왔다.
개인정보위와 한국인터넷진흥원(KISA)이 분석한 결과 유출이 확인된 개인정보는 총 29만 7117건(중복 제거)이다. 유출 항목은 휴대전화번호·성명·주소·생년월일·이메일주소·아이디·USIM고유번호 등 26개다. LG유플러스의 여러 시스템 중 유출된 데이터와 가장 일치하는 데이터를 보관하는 시스템은 고객인증시스템(CAS)으로 유출 시점은 2018년 6월 경인 것으로 분석·확인됐다.
개인정보위는 “LG유플러스는 다수 국민의 개인정보를 처리하는 유‧무선 통신사업자로서 엄격한 개인정보 관리가 요구됨에도 불구하고 고객인증시스템의 전반적인 관리 부실과 함께 타사 대비 현저히 저조한 정보보호·보안 관련 투자와 노력 부족이 금번 개인정보 유출사고로 이어졌다”고 판단했다.
아울러 LG유플러스에 ▲개인정보보호책임자(CPO: Chief Privacy Officer)의 역할과 위상 강화 ▲개인정보 보호 조직의 전문성 제고 ▲개인정보 내부관리계획 재정립 ▲전반적인 시스템 점검 및 취약요소 개선 등을 시정명령 했다. 또 지난 1월 사고 이후 LG유플러스에서 약속한 개인정보 보호 관련 각종 투자와 2차 피해방지 대책을 차질 없이 이행할 것을 당부했다.
다음은 이날 남석 조사조정국장과 진행한 일문일답이다.
-과징금 산정 기준이 뭔지(관련 매출액이 뭔지).
=저희가 브리핑한 것처럼 유출이 CAS 시스템에 있었다 생각했고 CAS가 부가서비스 인증을 위한 시스템이었어서 부가서비스 매출로 과징금을 산정했다.
-LG유플러스의 소명은.
=‘명확한 관계가 관련성이 없다’고 해서 과태료 처분 대상이라는 점을 주장했었고 관련 매출액 주장과 관련해서는 전체 매출액이 아닌 CAS 관련된 매출로 잡아야 한다는 그 주장이 있었다.
-유출신고 통지 의무 위반과 관련해서는 어떻게 판단했는지.
=유출 통지가 제대로 이뤄지지 않은 점을 문제 삼았고 해지 이용자에 대한 비교·확인 작업이 늦어지다 보니까 약 1개월 가까이 늦게 개별적으로 유출 통지가 이뤄진 부분에 대해서 위반사항을 판단했다.
과장 추가 답변=일단 말씀하신 대로 유출신고는 1월 3일에 최초 신고가 들어왔고 이후에 확인하는 대로 추가 신고는 있었다. 그래서 신고 위반으로 잡지는 않았고 개별 통지 위반만 잡았다.
-LG유플러스 과징금이 국내 기업에 대해서는 역대 최대 규모인지.
=구체적으로 따져보지는 않았는데 기억하기론 최대다.
-60만건 중에 중복 제거해 30만건이라고 했다. 중복은 무엇이며 29만건인지 29만명인지 알려 달라.
=동일인을 제거하고 개별, 개인으로 봤을 때 29만건이라고 이해하면 된다. 29만 7000명이라고 보면 된다.