2024년 11월 22일 금요일

  • 서울 4℃

  • 인천 2℃

  • 백령 7℃

  • 춘천 1℃

  • 강릉 5℃

  • 청주 4℃

  • 수원 2℃

  • 안동 1℃

  • 울릉도 9℃

  • 독도 9℃

  • 대전 2℃

  • 전주 5℃

  • 광주 5℃

  • 목포 7℃

  • 여수 9℃

  • 대구 5℃

  • 울산 8℃

  • 창원 8℃

  • 부산 8℃

  • 제주 8℃

IT '정보유출' LGU+ 제재 하반기로···수위는?

IT 통신

'정보유출' LGU+ 제재 하반기로···수위는?

등록 2023.06.16 07:48

수정 2023.06.16 09:38

임재덕

  기자

공유

개인정보위 "아직 조사 중"···처분 결과, 하반기 유력연초 30만 고객 정보 유출돼, 미흡한 보안의식이 배경인터파크는 과징금 '10억원'···"개정 법 반영 땐 제재↑"

연초 발생한 LG유플러스 30만 고객 개인정보 유출에 대한 '제재 처분'이 하반기에나 나올 전망이다. 그간 정보 유출을 막기 위한 회사의 '기술적·관리적 의무'가 소홀했다는 정부 지적이 있던 만큼, 작지 않은 규모의 과징금이 부과될 가능성도 제기된다.

김해숙 개인정보보호위원회(개인정보위) 조사2과장은 15일 본지와의 통화에서 "LGU+ 개인정보 유출 건과 관련해선 아직 조사 중"이라고 말했다.

연초 발생한 LG유플러스의 30만 고객 개인정보 유출에 대한 '제재 처분'이 하반기에나 나올 전망이다. 그래픽=뉴스웨이DB연초 발생한 LG유플러스의 30만 고객 개인정보 유출에 대한 '제재 처분'이 하반기에나 나올 전망이다. 그래픽=뉴스웨이DB

당초 개인정보위는 이 건에 대한 결과를 상반기 중 내놓을 계획이었다. 일례로 비슷한 시기 개인정보 유출이 있던 인터파크 등에 대한 제재는 전날 이뤄졌다. 이 건은 국민적 관심사가 큰 사안인 데다, 원인조사가 늦어지면서 예정보다 계획이 지체된 것으로 해석된다. 조사를 마무리한 뒤 처분 규모를 산정, 심의·의결 절차까지 고려하면 하반기 중 처분이 내려질 가능성이 크다.

소홀한 보안 의식이 30만 고객정보 유출로
LGU+는 지난 1월 초 미상의 해커로부터 사이버 공격을 받아 고객의 정보를 대거 유출했다. 과학기술정보통신부(과기정통부)와 한국인터넷진흥원(KISA)은 이를 '중대한 침해사고'로 판단, 민관합동조사단을 꾸려 원인 조사에 나섰다. 그런데 얼마 뒤 분산서비스 거부 공격(디도스)으로 인한 유선인터넷 장애 사고가 잇따랐다.

정부는 LGU+ '정보보호 예방 체계'에 문제가 있다고 보고, 기존 조사단을 '특별조사점검단'으로 개편해 대응했다.

과기정통부는 지난 4월 말에서야 조사 결과를 발표했다. 피해 규모는 당초 예상인 19만명을 훌쩍 웃도는 30만명 정도로 추정됐다. 다만 해커가 고객 개인정보가 담긴 이미지 파일을 더 확보했다고 주장하는 만큼, 유출 규모가 더 클 가능성도 있다고 정부는 설명했다.

조사 과정에서 LGU+ 정보보호 체계 전반의 치명적인 문제가 노출됐다. 해킹과 같은 비정상 행위 위험성을 실시간으로 감시하고 통제해야 할 시스템은 존재하지 않았고, 심지어 고객 정보가 담긴 데이터베이스(DB) 관리자 계정 비밀번호는 초기암호(admin) 그대로였다. 해커는 이런 취약점을 악용해 서버 내 존재하는 고객정보파일(2018년 6월 생성)을 가져갈 수 있었다고 정부 관계자는 설명했다.

정부는 특히 이번 사고 배경엔 LGU+의 소홀한 '보안 의식'이 있다고 지적했다. 일례로 LGU+가 지난해 정보보호 분야에 투자한 금액은 292억원(매출 대비 3.7%)으로, 동종업계인 ▲KT(1021억원·5.2%) ▲SKT·SKB(860억원·3.9%)와 비교하면 적다. 전문인력도 91명에 그쳐, 300명대인 경쟁사들에 비해 3분의 1 수준에 그쳤다.

홍진배 과기정통부 네트워크정책실장은 "LGU+는 해킹메일 발송 등 단순 모의훈련은 실시하고 있으나, 최근 사이버 위협에 따른 실전형 침투훈련이 부족했다"면서 "임직원 대상 보안교육도 형식적이고, 바로 보안업무에 활용할 수 있는 실무형 업무매뉴얼도 부재했다"고 지적했다.

정부도 미흡함 지적···'강력 제재' 예상도
개인정보위는 전날 LGU+와 비슷한 시기 고객 정보를 유출한 8개 사업자에 대해 철퇴를 내렸다. 개인정보 보호에 필요한 안전조치를 소홀히 하거나, 개인정보 유출통지·신고를 지연해 개인정보보호 법규를 위반했다는 이유다. 이들 중 가장 큰 제재를 받은 곳은 인터파크로, 과징금만 10억2645만원에 달했다.

개인정보보호법상 위반행위와 관련한 매출액의 3% 이내로 과징금이 부과될 수 있는데, 규모 산정에는 ▲위반행위의 내용 및 정도 ▲위반행위의 기간 및 횟수 ▲위반행위로 인해 취득한 이익의 규모 등이 고려된다.

업계에서는 LGU+의 경우 이들 사례보다 더 큰 규모의 처분이 내려질 가능성도 점친다. LGU+는 기간통신사로서 국민 생활에 미치는 영향이 큰데도, 평소 안전성 확보 노력에 힘쏟지 않았다는 사실이 정부 조사로 확인돼서다. 더욱이 일부 고객에 대해 정보 유출 사실 고지가 늦었다는 의혹도 있다.

최경진 가천대학교 교수(前 개인정보보호법학회장)는 "개인정보는 유출되지 않도록 사전에 방지하는 게 중요하기 때문에 기본적인 노력에 대해선 최선을 다해야 한다"면서 "이런 책임성을 강화하는 쪽으로 최근 법 개정도 이뤄진 만큼, 이 부분이 반영된다면 (제재가) 강력하게 나올 것"으로 내다봤다.

이에 대해 김해숙 개인정보위 조사2과장은 "관련 법에 명시된 기준에 따라, 요구하는 의무 사항을 준수했는지 여부를 따져 볼 계획"이라고 힘줘 말했다.
ad

댓글