개인정보 유출 사고
올해 LG유플러스에서 발생한 해킹사고로 29만7000여 건의 고객 개인정보가 유출되었습니다. 이로 인해 개인정보보호위원회는 LG유플러스의 시스템 보안과 개인정보 관리가 허술했다며 과징금 68억 원을 부과했습니다. 이 사건을 계기로 LG유플러스는 보안 관련 비용 투자를 늘리고 재발 방지 대책을 마련하기로 결심했습니다.
과징금 부과 및 시정조치
개인정보보호위원회는 12일 전체회의를 열어 LG유플러스에게 과징금 68억 원과 과태료 2700만 원을 부과하였으며, 재발 방지를 위한 시정조치를 내렸습니다. 개인정보보호위원회와 한국인터넷진흥원(KISA) 등 민관합동조사단과 경찰은 지난 1월에 LG유플러스 회원정보 약 60만 건이 불법 거래 사이트를 통해 거래되고 있다는 사실을 발견하고 조사를 벌여왔습니다.
유출된 개인정보와 보안 결함
개인정보보호위원회와 KISA는 유출된 개인정보를 조사한 결과, 총 29만7117건의 정보가 유출되었으며, 휴대전화 번호, 성명, 주소, 생년월일, 이메일주소, 아이디, 유심(USIM) 고유번호 등 26개의 항목이 포함되어 있음을 확인했습니다. 유출된 시점은 2018년 6월경으로 파악되었으며, LG유플러스의 고객인증시스템(CAS) 데이터가 집중적으로 유출된 것으로 확인되었습니다. 조사 결과, LG유플러스의 CAS의 서비스 운영 인프라와 보안 환경이 해커 등의 불법 침입에 상당히 취약했던 것으로 드러났습니다. CAS의 운영체제(OS)와 데이터베이스 관리시스템, 웹서버, 웹 애플리케이션 서버 등의 소프트웨어 대부분이 2018년 6월을 기준으로 단종되었거나 기술지원이 종료된 상태였습니다. 또한 방화벽, 침입방지시스템(IPS), 웹방화벽 등의 기본적인 보안장비도 설치되지 않았음이 확인되었습니다.
LG유플러스의 대응과 향후 대책
LG유플러스는 상반기에 약 640억 원을 투자하여 사이버 보안을 강화했습니다. 특히 취약성 점검, 통합 모니터링 관제, 인프라 투자 등에 중점을 두었습니다. 또한 하반기에는 전체 방화벽에 대한 정책관리 솔루션을 도입하여 관제 정책을 점검하고 강화할 계획입니다. 내년에는 웹방화벽을 추가로 투입하여 개인 간 거래(B2C)와 기업 간 거래(B2B) 영역에서의 인프라 보안 체계를 강화할 예정입니다. LG유플러스는 이번 사건으로 불편을 겪으신 고객들께 사과의 말씀을 드리며, 전사적인 재발방지 대책을 추진할 것이라고 밝혔습니다. 고객들에게 다시 한번 신뢰를 드릴 수 있는 보안에 강한 회사로 거듭날 것을 약속했습니다.