수년 전 업로드된 악성코드 남아
점검‧탐지‧차단 등 정책 미시행
“부가서비스 매출로 과징금 산정”
[천지일보=정다준 기자] LG유플러스가 약 30만명의 고객 정보를 해킹당한 것과 관련해 정부로부터 과징금 68억원과 과태료 2700만원을 부과받았다. 이번 처분은 국내 기업에 대해서는 역대 최대 규모다.
개인정보보호위원회(개인정보위)는 12일 전체회의를 개최해 개인정보 유출사고가 발생한 LG유플러스에 대해 이 같은 처분을 내리고 전반적인 시스템 점검 및 취약 부분 개선 등 재발 방지를 위한 시정조치(안)을 의결했다.
개인정보위는 지난 1월 해커에 의해 불법거래 사이트에 개인정보 약 60만건(중복 제거시 약30만건)이 공개된 LG유플러스에 대해 민관 합동조사단·경찰 등과 협조해 조사를 진행해 왔다.
개인정보위와 한국인터넷진흥원(KISA)이 분석한 결과 유출이 확인된 개인정보는 총 29만 7117건(중복 제거)이다. 유출 항목은 휴대전화번호·성명·주소·생년월일·이메일주소·아이디·USIM고유번호 등 26개다. LG유플러스의 여러 시스템 중 유출된 데이터와 가장 일치하는 데이터를 보관하는 시스템은 고객인증시스템(CAS)으로 유출 시점은 2018년 6월 경인 것으로 분석·확인됐다.
고객인증시스템(CAS: Compound Authorization System)은 LG유플러스의 일부 부가서비스 제공 과정에서 고객인증과 부가서비스 가입‧해지 기능을 제공하는 시스템이다.
개인정보위에 따르면 조사가 시작된 2023년 1월까지 LG유플러스 고객인증시스템의 서비스 운영 인프라와 보안 환경은 해커 등의 불법침입에 매우 취약한 상황이었다.
고객인증시스템의 운영체제(OS), 데이터베이스 관리시스템(DBMS), 웹서버(WEB), 웹 어플리케이션 서버(WAS) 등 상용 소프트웨어 대부분이 유출이 발생한 것으로 추정되는 2018년 6월 기준으로 단종되거나 기술 지원이 종료된 상태였다.
또 불법침입과 침해사고 방지에 필요한 침입차단시스템(방화벽), 침입방지시스템(IPS), 웹방화벽 등 기본적인 보안장비가 설치되지 않았거나 설치 중이더라도 보안정책이 제대로 적용되지 않았고 일부는 기술 지원이 중단된 상태였다.
특히 고객인증시스템 개발기에 2009년과 2018년에 업로드된 악성코드(웹셸)가 2023년 1월까지 삭제되지 않고 남아 있었다. 웹셸에 대한 점검이나 IPS의 웹셸 탐지‧차단 정책은 적용되지 않고 있었다.
둘째, 고객인증시스템 운영기에서 관리하는 실제 운영 데이터(개인정보 포함)를 개발기, 검수기로 옮겨 테스트를 진행한 후 일부 데이터를 방치해 2008년에 생성된 정보 등 1000만건 이상의 개인정보가 조사 시점까지 남아 있었다.
셋째, 관리 통제도 부실했다. 다량의 개인정보를 관리하면서도 개인정보취급자의 접근권한과 접속기록을 제대로 관리하지 않았다. 대규모 개인정보를 추출‧전송한 기록을 남기지 않고 비정상 행위 여부에 대한 점검‧확인이 안 됐다.
개인정보위는 “LG유플러스는 다수 국민의 개인정보를 처리하는 유‧무선 통신사업자로서 엄격한 개인정보 관리가 요구됨에도 불구하고 고객인증시스템의 전반적인 관리 부실과 함께 타사 대비 현저히 저조한 정보보호·보안 관련 투자와 노력 부족이 금번 개인정보 유출사고로 이어졌다”고 판단했다.
아울러 LG유플러스에 ▲개인정보보호책임자(CPO: Chief Privacy Officer)의 역할과 위상 강화 ▲개인정보 보호 조직의 전문성 제고 ▲개인정보 내부관리계획 재정립 ▲전반적인 시스템 점검 및 취약요소 개선 등을 시정명령 했다. 또 지난 1월 사고 이후 LG유플러스에서 약속한 개인정보 보호 관련 각종 투자와 2차 피해방지 대책을 차질 없이 이행할 것을 당부했다.
남석 조사조정국장은 이날 정부서울청사에서 진행된 브리핑에서 “(LG유플러스와) 여러 쟁점이 있었지만 CAS 시스템에서 유출이 있었다고 확인했고 CAS 시스템이 부가서비스에 인증하는 시스템이라고 소명을 했기 때문에 그 부가서비스 관련 매출액을 관련 매출(과징금 산정 근거)로 잡았다”고 밝혔다.
LG유플러스 관계자는 “이번 일로 불편을 겪으셨을 고객분들게 다시 한번 고객 숙여 사과의 말씀을 드린다”며 “당사는 지난 2월 1000억원 규모의 정보보호투자 계획을 포함한 전사적 차원의 재발방지 대책을 추진하고 있다. 앞으로 고객분들께 신뢰를 드릴 수 있는, 보안에 강한 회사로 거듭나겠다”고 말했다.
이날 LG유플러스도 올해 상반기까지 사이버 보안에 640억원을 집행했다는 소식을 발표했다. LG유플러스는 “지난 2월 정보보호 투자 규모를 기존 대비 3배 이상인 1000억원 수준으로 늘리겠다고 밝힌 지 4달 만에 약 640억원을 집행했다”고 밝혔다.
앞서 LG유플러스는 2월 기자간담회를 통해 ‘사이버 보안 혁신 활동’을 공표하고 핵심내용 중 하나로 정보보호 투자액 확대를 예고했다. 실제로 LG유플러스는 지난 6월까지 연간 투자액 1,050억원의 절반 이상인 640억원의 집행을 확정했다. 총 110가지의 추진 과제 중 주요 투자 부문은 ▲취약성 점검(200억원) ▲통합 모니터링 관제(196억원) ▲인프라 투자(172억원) 등이다.
LG유플러스는 이 밖에도 ▲정보보호 전담 인력 강화 ▲보안 조직 확대·개편 ▲최고정보보호책임자(CISO) 영입 ▲‘정보보호자문위원회’ 신설을 통한 보안 검증 체계 강화 ▲인재 육성을 위한 숭실대학교 연계 정보보호학과 운영 등을 추진 중이라고 전했다.