LG U+ 해킹 사건으로 인해 총 297,000건의 개인정보가 유출되었습니다. 이 정보의 대부분은 5년 전인 2018년 6월에 유출되었습니다. 정보보호위원회는 LG유플러스의 시스템 보안과 개인정보 관리에 대해 과징금 68억원을 부과했습니다.
개인정보보호위원회는 12일 전체회의를 열고 약 29만7000건의 고객정보를 유출한 LG유플러스에 각각 과징금 68억원, 과태료 2700만원을 부과하고 재발방지를 위한 시정조치를 내렸습니다.
지난 1월 LG유플러스 회원 데이터 약 60만건(중복삭제 건 약 30만건)이 불법거래 사이트에서 판매되고 있는 사실이 밝혀져 민관합동수사위원장과 경찰이 수사 중입니다.
개인정보위원회와 한국인터넷진흥원이 분석한 결과, 총 29만7117건의 개인정보 유출이 확인됐습니다(중복제거 후). 유출된 항목은 휴대폰 번호, 이름, 주소, 생년월일, 이메일 주소, 신분증, USIM 번호 등 26개 항목으로 확인됐습니다.
KBS
해당 정보가 유출된 시점은 2018년 6월경으로, LG U+에서 특정 부가서비스를 제공하는 과정에서 고객 인증 및 부가서비스 가입/해지 기능을 제공하는 CAS(Customer Authentication System) 데이터가 대대적으로 유출된 것으로 확인되었습니다.
한편 LG유플러스의 시스템 보안과 개인정보 관리는 허술했습니다. 개인정보보호위원회의 조사 결과, 올해 1월 현재 서비스 운영 인프라와 고객인증시스템(CAS) 보안환경이 해커 등 불법침입에 상당히 취약한 상태입니다.
클라이언트 인증 시스템(CAS) 운영 체제(OS), 데이터베이스 관리 시스템(DBMS), 웹 서버(WEB) 및 웹 응용 프로그램 서버(WAS)와 같은 대부분의 상용 소프트웨어는 유출 추정 시간으로 인해 폐기되었습니다.
또한 클라이언트 인증 시스템(CAS) 개발 중에도 2009년과 2018년에 업로드된 악성코드(웹쉘)는 올해 1월까지 미해결 상태로 남아 있었고, 웹쉘 제어나 IPS 쉘 탐지/차단 정책이 모두 적용되지 않았습니다.
LG 유플러스 측 "외부서 알려줘 알았다" 해명하여..
온라인 커뮤니티
고객인증시스템(CAS) 운영자가 관리하는 실제 운영정보(개인정보 포함)를 개발·관리 기간 및 테스트 기간 동안 이관한 후, 일부 정보를 방치하여 2008년에 생성한 정보를 포함해 1,000만 건 이상의 개인정보가 조사 전까지 남아 있었습니다.
LG U+는 CAS를 개발, 제어, 운영 단계로 나누어 지원합니다. 개인정보위원회도 LG유플러스가 대량의 개인정보를 관리하면서 개인정보를 취급하는 자의 접근권한과 접근기록을 제대로 관리하지 않은 것으로 드러났습니다.
결론적으로 개인정보위원회는 LG유플러스가 다수의 개인정보를 처리하는 유무선 통신사업자이며, 엄격한 개인정보 관리요건에도 불구하고 타 기업에 비해 현저히 뒤떨어져 있다는 결론을 내렸습니다.
게티이미지뱅크
일반적으로 관리가 부실한 고객 인증 시스템(CAS) 정보 보호 및 보안을 위한 투자 및 노력 부족이 개인정보 유출 사고로 이어진 것으로 판단됩니다. 이에 LG유플러스에 개인정보보호법 위반으로 과징금과 과태료를 부과하기로 했습니다.
또한 최근 3년간 보호법을 위반한 LG유플러스의 경우 개인정보보호 최고책임자(CPO)의 역할과 위상을 강화하고 개인정보보호 조직의 전문성을 높이고 내부 개인정보 관리계획을 복원하고, 시스템 전체를 점검하며, 민감한 요소를 개선하였습니다.
특히 LG유플러스는 지난 1월 사고 이후 차질 없이 개인정보 보호 및 2차 피해방지 조치 이행과 관련한 각종 투자를 요청했습니다.
뉴시스
앞서 2020년 12월 LG유플러스는 수탁자 관리·감독 소홀, 개인정보보호조치(접근통제) 위반 등으로 과징금 및 과태료를 부과받았습니다.
정보보호위원회는 이번 조치가 통상적으로 대량의 개인정보를 저장·처리하는 기업들에게 개인정보 보호를 위한 예산과 인력 투자를 비용이 아닌 투자로 파악하는 전환점이 될 것으로 기대하고 있습니다. 또한 비즈니스 거버넌스에서 데이터 경제 시대에 CPO와 데이터 보호 조직의 역할과 중요성을 재고하는 계기가 될 것으로 기대한다고 말했습니다.
LG유플러스는 "이번 일로 불편을 끼쳐 드렸을 고객 여러분께 다시 한 번 머리 숙여 사과드린다"고 말했다. 앞으로도 고객이 신뢰할 수 있는 강력한 보안업체로 거듭나겠습니다."라고 전했습니다.
댓글 영역
획득법
① NFT 발행
작성한 게시물을 NFT로 발행하면 일주일 동안 사용할 수 있습니다. (최초 1회)
② NFT 구매
다른 이용자의 NFT를 구매하면 한 달 동안 사용할 수 있습니다. (구매 시마다 갱신)
사용법
디시콘에서지갑연결시 바로 사용 가능합니다.