매일 경제

역대 최대 규모…원인은 취약한 인프라

[톱데일리] 올해 초 해킹 공격으로 30만명의 고객정보를 유출한 LG유플러스가 과징금 68억원을 부과 받았다.

12일 개인정보보호위원회(이하 개보위)는 전체회의를 열고 개인정보보호 법규를 위반한 LG유플러스에 68억원의 과징금과 2700만원의 과태료 처분을 내렸다. 개인정보 유출에 따른 과징금 규모로는 역대 최대 수준이다.

한국인터넷진흥원(KISA)이 유출 정보를 분석한 결과 중복 고객 제거시 총 29만7117명의 개인정보 유출이 있었던 것으로 분석됐다. 앞서 개보위는 지난 1월 해킹을 당해 불법거래 사이트에 개인정보 약 30만건이 공개된 LG유플러스에 민관 합동조사단, 경찰 등과 조사를 진행해 왔다.

개인정보 유출 항목은 휴대전화번호, 성명, 주소, 생년월일, 이메일주소, 아이디, 유심 고유번호 등 26개 항목으로 확인됐다. LG유플러스의 여러 시스템 중 유출된 데이터로 추정되는 곳은 데이터를 보관하는 고객인증시스템(CAS)으로 유출시점은 2018년 6월경인 것으로 분석됐다.

개보위에 따르면 LG유플러스의 고객인증시스템(CAS)의 서비스 운영 인프라와 보안 환경이 해커의 불법 침입에 매우 취약했다. 이번 과징금 부과는 현재까지 지속된 시스템 관리의 전반적 부실과 다수의 법규 위반이라는 설명이다.

일단 불법침입과 침해사고 방지에 필요한 침입차단시스템(방화벽), 침입방지시스템(IPS), 웹방화벽 등 기본적인 보안장비가 설치되지 않았거나 보안정책이 제대로 적용되지 않았고, 일부는 기술지원이 중단된 상태였다. 고객인증시스템 개발기에 14년 전 업로드된 악성코드가 삭제되지 않았고 점검 등도 부실했다.

고객인증시스템 운영기에서 관리하는 실제 운영 데이터를 개발기, 검수기로 옮겨 테스트를 진행한 후, 일부 데이터를 방치해 2008년에 생성된 정보 등 1000만건 이상의 개인정보가 조사 시점까지 남아 있기도 했다. 다량의 개인정보를 관리하면서도 개인정보취급자의 접근권한과 접속기록도 제대로 관리되지 않았다.

개보위는 "LG유플러스는 다수 국민의 개인정보를 처리하는 유·무선 통신사업자로서 엄격한 개인정보 관리가 요구됨에도 불구하고, 고객인증시스템의 전반적인 관리 부실과 함께 타사 대비 현저히 저조한 정보보호·보안 관련 투자와 노력부족이 이번 개인정보 유출사고로 이어졌다고 판단했다"고 설명했다.

개인정보 유출 사태로 이날 과징금을 부과받은 LG유플러스는 사이버 보안 강화에 더욱 집중하겠다는 입장을 밝혔다. 지난 2월 제시한 정보보호 투자 규모 목표 1000억원에서 올해 상반기까지 약 640억원을 집행하고, 하반기에도 사이버 보안 강화 투자를 이어가겠다는 계획이다.

앞서 LG유플러스는 해킹 사건 이후 '사이버 보안 혁신 활동'을 발표하고, 핵심내용 중 하나로 정보보호 투자액 확대를 제시했다. 크게 ▲취약성 점검 ▲통합 모니터링 관제 ▲인프라 투자 등 분야에서 총 110가지 추진 과제에 투자하겠다는 목표였다.

이중 가장 많은 비용이 집행된 부문은 200억원이 투입된 취약성 점검으로 확인됐다. 통합모니터링 관제엔 약 196억원, 보안 인프라 투자에는 172억원을 집행했다. LG유플러스는 연내 방화벽에 대한 정책관리 솔루션으로 관제 정책 등을 전면 점검하고 강화할 계획이다.





톱데일리
이진휘 기자 hwi@topdaily.co.kr