'개인정보 30만건 유출' LGU＋에 과징금 68억원

개보위 "시스템 관리 부실…정보보호 노력·투자 저조"

'개인정보 30만건 유출' LGU＋에 과징금 68억원
개보위 "시스템 관리 부실…정보보호 노력·투자 저조"

LG유플러스 피해 고객 이면 오늘부터유심카드 교체 LG유플러스 피해 고객 이면 오늘부터유심카드 교체 (서울=연합뉴스) 황광모 기자 = 20일 오전 서울 종로구 LG유플러스 직영점에서 직원이 해킹으로 인해 개인정보 유출 피해를 본 고객을 위해 준비한 유심카드를 들고 있다. LG유플러스 고객은 이날부터 이 회사의 오프라인 매장에서, LG유플러스 알뜰폰(MVNO) 망 이용 고객은 중소 알뜰폰 전문매장 '알뜰폰 플러스'에서 유심을 교체하면 된다. 피해를 보지 않은 LG유플러스 고객은 다음 달 1일부터 유심을 무상으로 바꿀 수 있다. 교체를 원하는 고객은 공식 홈페이지에서 신청한 뒤 매장에 방문하면 된다. 현재 LG유플러스는 고객센터와 고객정보보호센터에서 개인정보 유출 관련 상담·문의를 받고 있으며, 분산서비스거부(DDoS·디도스) 공격으로 인터넷 서비스 장애를 겪은 소상공인·피시방 고객을 위해 '피해지원센터'를 개설했다. 이와 함께 모든 고객에게 'U+스팸전화알림' 앱을 무료로 제공한다. 2023.2.20 hkmpooh@yna.co.kr (끝)

(서울=연합뉴스) 계승현 기자 = 개인정보보호위원회는 12일 전체회의를 열고 개인정보 약 30만건이 유출된 LG유플러스에 대해 과징금 68억원과 과태료 2천700만원을 부과했다.

LG유플러스는 지난 1월 해커의 공격을 받아 불법거래 사이트에 고객 개인정보 약 60만건(중복 제거시 약 30만건)이 공개됐다. 이에 대해 개인정보위는 민관 합동조사단, 경찰과 협조해 조사를 해왔다.

개인정보위와 한국인터넷진흥원이 분석한 결과 유출이 확인된 개인정보는 중복 제거시 총 29만7천117건으로, 유출 항목은 휴대전화번호·성명·주소·생년월일·이메일 주소·아이디·USIM고유번호 등 26개 항목이다.

LG유플러스의 여러 시스템 중 유출된 데이터와 가장 일치하는 데이터를 보관하는 시스템은 고객인증시스템(CAS)이며, 유출시점은 2018년 6월인 것으로 분석됐다.

CAS는 LG유플러스 부가 서비스 제공 과정에서 고객인증과 부가서비스 가입·해지 기능을 제공하는 시스템이다.

조사가 시작된 지난 1월까지 CAS의 서비스 운영 인프라와 보안 환경은 해커의 불법침입에 매우 취약한 상태였다.

CAS의 운영체제(OS), 데이터베이스 관리시스템(DBMS), 웹서버(WEB), 웹 애플리케이션 서버(WAS) 등 LG유플러스가 사용하는 소프트웨어 대부분이 유출이 발생한 것으로 추정되는 2018년 6월 기준으로 단종되거나 기술지원이 종료된 상태였다.

또 불법침입과 침해사고 방지에 필요한 침입차단시스템(방화벽) 등 기본적인 보안장비가 설치되지 않았거나, 설치 중이더라도 보안정책이 제대로 적용되지 않았다.

일부는 기술지원이 중단된 상태였다.

CAS 운영기에서 관리하는 실제 운영 데이터(개인정보 포함)를 살펴본 결과 일부 데이터를 방치해 2008년에 생성된 정보 등 1천만 건 이상의 개인정보가 조사 시점까지 남아 있었던 사실도 확인됐다.