2023년 7월 12일, 개인정보보호위원회(위원장 고학수)는 엘지유플러스에 대한 과징금 68억 원과 과태료 2,700만 원을 부과하는 결정을 내렸습니다. 이 사고는 개인정보 유출 사고로 시작되어, 그로 인한 이후의 조치에 이르기까지 여러 단계를 거쳤습니다. 이 사고에 대한 상세한 조사를 진행한 결과, 위원회는 엘지유플러스의 취약한 보안 시스템과 불충분한 개인정보 보호 조치에 대한 문제를 지적하였습니다.
유출된 개인정보에 대한 분석
유출된 개인정보는 총 297,117건으로 확인되었으며, 이는 휴대 전화번호, 성명, 주소, 생년월일, 이메일주소, 아이디, USIM 고유번호 등 총 26개 항목을 포함하고 있었습니다. 이 정보가 유출된 시스템은 엘지유플러스의 고객인증시스템 (CAS)으로 확인되었습니다.
엘지유플러스의 취약한 보안 시스템 및 개인정보 보호 조치
보안 시스템의 취약성
조사 결과, 엘지유플러스의 고객인증시스템 (CAS)의 보안 환경은 매우 취약한 상태로 파악되었습니다. 예를 들어, 운영체제 (OS), 데이터베이스 관리시스템 (DBMS), 웹서버 (WEB), 웹 어플리케이션 서버 (WAS) 등 대부분의 상용 소프트웨어는 단종되거나 기술 지원이 종료된 상태였습니다. 또한 필요한 보안장비가 설치되지 않았거나 제대로 적용되지 않은 상태였습니다.
개인정보 보호 조치의 불충분성
엘지유플러스는 개인정보취급자의 접근권한과 접속기록을 제대로 관리하지 않았습니다. 이로 인해 대규모 개인정보를 추출하고 전송한 기록이 없으며, 비정상 행위 여부에 대한 점검 및 확인이 이루어지지 않았습니다.
개인정보보호위원회의 평가와 그 이후 조치
위원회의 평가 및 의견
개인정보보호위원회는 엘지유플러스의 태만한 정보 보호와 보안 관련 투자 및 노력이 이번 개인정보 유출 사고로 이어졌다고 판단하였습니다. 이러한 이유로 위원회는 엘지유플러스에 대해 과징금과 과태료를 부과하기로 결정하였습니다.
이후 조치
엘지유플러스에는 전반적인 시스템 점검 및 취약 부분 개선 등 재발 방지를 위한 시정조치를 요구하였습니다. 이를 통해 같은 종류의 사고가 다시 발생하지 않도록 하려는 목표가 담겨 있습니다.
위반사항에 대한 행정처분 내용
| 사업자명 | 위반항목 | 위반내용 | 위반조항 | 시정조치(안) |
|---|---|---|---|---|
| ㈜엘지유플러스 | 개인정보의 파기 | 개인정보가 불필요하게 되었을 때 지체 없이 개인정보를 파기하지 않음 | 법§21① 영§16 | ⦁과징금 68억 45만 2천 원 ⦁과태료 2,700만 원 ⦁시정조치 명령 ⦁결과 공표 – – |
| ㈜엘지유플러스 | 안전조치의무 | – 개인정보처리시스템 접근권한 부여‧변경‧ 말소 내역 보관을 소홀히 함 – 침입차단‧탐지시스템 운영을 소홀히 함 – 비밀번호 작성규칙 적용을 하지 않음 – 접속기록 보존‧관리를 소홀히 함 | 법§29 영§48조의2 고시§4 법§29 영§48조의2 고시§5 | |
| ㈜엘지유플러스 | 유출신고· 통지 | 24시간 이내 유출통지하지 않음 | 법§39조의4 |
개인정보 보호법
- 보호법 제21조(개인정보의 파기)
① 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되
었을 때에는 지체 없이 그 개인정보를 파기하여야 한다. 다만, 다른 법령에 따라 보존하여야 하
는 경우에는 그러하지 아니하다. - 보호법 제29조(안전조치의무)
개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 관리계
획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적
및 물리적 조치를 하여야 한다. - 보호법 제39조의4(개인정보 유출등의 통지ㆍ신고에 대한 특례)
① 제34조제1항 및 제3항에도 불구하고 정보통신서비스 제공자와 그로부터 제17조제1항에 따라 이
용자의 개인정보를 제공받은 자(이하 “정보통신서비스 제공자등”이라 한다)는 개인정보의 분실ㆍ
도난ㆍ유출(이하 “유출등”이라 한다) 사실을 안 때에는 지체 없이 다음 각 호의 사항을 해당 이용
자에게 알리고 보호위원회 또는 대통령령으로 정하는 전문기관에 신고하여야 하며, 정당한 사유
없이 그 사실을 안 때부터 24시간을 경과하여 통지ㆍ신고해서는 아니 된다. 다만, 이용자의 연락처
를 알 수 없는 등 정당한 사유가 있는 경우에는 대통령령으로 정하는 바에 따라 통지를 갈음하는
조치를 취할 수 있다.
- 유출등이 된 개인정보 항목
- 유출등이 발생한 시점
- 이용자가 취할 수 있는 조치
- 정보통신서비스 제공자등의 대응 조치
- 이용자가 상담 등을 접수할 수 있는 부서 및 연락처
요약정리
개인정보보호위원회는 엘지유플러스의 개인정보 유출 사고에 대해 과징금 68억 원과 과태료 2,700만 원을 부과하였습니다. 이 결정은 엘지유플러스의 취약한 보안 시스템 및 불충분한 개인정보 보호 조치에 기인합니다. 이후에는 전반적인 시스템 점검 및 취약 부분 개선 등 재발 방지를 위한 시정조치가 이루어질 예정입니다.
자주하는 질문
1. ㈜ 엘지유플러스가 부과받은 과징금과 과태료의 총액은 얼마인가요?
과징금 68억 원과 과태료 2,700만 원, 총액으로 70억 700만 원을 부과받았습니다.
2. 이번 사건에서 과징금과 과태료는 어떤 기준으로 부과된 것인가요?
과징금과 과태료는 개인정보보호법에 따른 부과 기준에 따라 계산되었습니다. 과징금은 지난 1월부터 조사가 진행된 이후, 위반 사항에 따라 계산되었고, 과태료는 위반사항에 따라 부과되었습니다.
3. ㈜ 엘지유플러스에 대해 어떤 시정조치가 내려졌나요?
시스템 점검 및 개선조치, 개인정보 보호법 준수를 위한 강화된 관리체제 구축을 위한 시정명령을 받았습니다. 이에 따라 정기적인 개인정보 보호 시스템 점검 및 개선을 통해 재발 방지를 위한 보완계획을 개발하고, 개인정보 보호법 준수를 위한 관리체제를 강화해야 합니다.
4. 개인정보 유출이 확인된 건수와 유출 항목은 무엇인가요?
유출이 확인된 개인정보는 총 297,117건(중복제거시)으로, 유출 항목은 휴대 전화번호, 성명, 주소, 생년월일, 이메일주소, 아이디, USIM 고유번호 등 26개의 항목입니다.
5. 유출된 데이터가 가장 일치하는 시스템은 무엇인가요?
여러 시스템 중 유출된 데이터와 가장 일치하는 데이터를 보관하는 시스템은 고객인증시스템(CAS)입니다.
관련 게시글
콘텐츠