(서울=내외방송) 개인정보 30만 건이 유출되는 사고가 발생한 LG유플러스가 68억원의 과징금을 물게 됐다.
개인정보보호위원회는 12일 전체회의를 열고 LG유플러스에 과징금 68억원, 과태료 2,700만원을 부과하고 전반적인 시스템 점검 및 취약부분 개선 등 재발 방지를 위한 시정조치(안)를 의결했다.
LG유플러스는 지난 1월 해커에 의해 불법거래 사이트에 약 60만 건(중복 제거시 약 30만 건)의 개인정보가 공개됐고 개인정보위는 민관과 합동조사단, 경찰 등과 협조해 조사를 진행했다.
조사 결과 올 1월까지 LG유플러스의 고객인증시스템(CAS) 서비스 운영 인프라와 보안 환경이 해커 등의 불법침입에 매우 취약했으며 일부 데이터를 방치해 지난 2008년에 생성된 정보 등 1,000만건 이상의 개인정보가 조사 시점까지 남아있었다.
또 다량의 개인정보를 관리하면서도 개인정보취급자의 접근권한과 접속기록을 제대로 관리하지 않아 대규모 개인정보를 추출‧전송한 기록을 남기지 않고 비정상 행위 여부에 대한 점검‧확인이 안되는 등 관리 통제도 부실한 상황이었던 것으로 드러났다.
개인정보위는 "다수 국민의 개인정보를 처리하는 유‧무선 통신사업자로서 엄격한 개인정보 관리가 요구됨에도 불구하고, 고객인증(CAS) 시스템의 전반적인 관리 부실과 함께 타사 대비 현저히 저조한 정보보호‧보안 관련 투자와 노력 부족이 금번 개인정보 유출사고로 이어졌다고 판단해 보호법 위반으로 과징금과 과태료를 부과하기로 결정했다"고 전했다.
한편 이날 채용정보 제공 사이트인 인크루트(주)도 이용자 개인정보 유출로 인해 과징금 7,060만원, 과태료 360만원이 부과됐다.
인크루트는 해커가 '크리덴셜 스터핑 공격'(사전에 확보한 다수의 아이디와 비밀번호 정보를 무작위로 대입해 로그인을 시도하는 공격 방식)을 했지만 이를 차단하기 위한 침입 탐지 및 차단 정책을 실시하지 않았고, 휴면계정 해제 시 추가인증 요구 없이 아이디, 비밀번호만으로 해제가 가능하도록 설정하는 등 접근통제 조치를 소홀히 해 이용자의 개인정보(3만 5,076건)가 유출된 사실이 확인됐다.
