2024.05.06 (월)
속초18.5℃
15.0℃
철원13.8℃- 동두천13.5℃
- 파주13.3℃
- 대관령11.8℃
- 춘천14.9℃
- 백령도12.2℃
- 북강릉19.1℃
- 강릉19.5℃
- 동해19.2℃
- 서울14.0℃
- 인천13.0℃
- 원주15.6℃
울릉도16.4℃- 수원14.3℃
- 영월15.3℃
- 충주15.8℃
- 서산14.0℃
울진14.9℃- 청주15.0℃
- 대전14.6℃
- 추풍령15.3℃
- 안동17.0℃
- 상주16.8℃
- 포항20.4℃
- 군산14.5℃
대구21.1℃
전주14.9℃- 울산18.7℃
- 창원18.7℃
- 광주15.0℃
- 부산18.1℃
- 통영17.7℃
- 목포14.8℃
- 여수16.7℃
- 흑산도15.0℃
- 완도15.3℃
- 고창14.3℃
- 순천15.6℃
- 홍성(예)14.3℃
- 13.8℃
- 제주17.6℃
- 고산15.7℃
- 성산18.8℃
- 서귀포17.9℃
- 진주19.2℃
- 강화13.0℃
- 양평15.0℃
- 이천14.7℃
- 인제14.9℃
- 홍천14.5℃
- 태백15.5℃
- 정선군14.9℃
- 제천14.5℃
- 보은15.2℃
- 천안14.6℃
- 보령14.0℃
- 부여14.5℃
- 금산15.4℃
- 14.2℃
- 부안15.2℃
- 임실14.7℃
- 정읍14.7℃
- 남원15.7℃
- 장수14.0℃
- 고창군14.3℃
- 영광군14.5℃
- 김해시18.4℃
- 순창군15.0℃
- 북창원20.7℃
- 양산시19.2℃
- 보성군16.5℃
- 강진군15.9℃
- 장흥15.6℃
- 해남15.5℃
- 고흥15.7℃
- 의령군20.8℃
- 함양군18.2℃
- 광양시18.4℃
- 진도군14.9℃
- 봉화16.5℃
- 영주16.8℃
- 문경17.2℃
- 청송군18.0℃
- 영덕20.3℃
- 의성18.4℃
- 구미18.0℃
- 영천19.5℃
- 경주시20.5℃
- 거창17.6℃
- 합천19.2℃
- 밀양19.0℃
- 산청17.1℃
- 거제18.0℃
- 남해18.7℃
- 19.1℃
LGU+ 개인정보 유출사고, ‘과징금 68억 원, 과태료 2,700만 원’ 부과
- 곽중희 기자
- 등록 2023.07.12 15:17
- 조회수 668
지난 1월 대규모 개인정보가 유출사고가 발생한 엘지유플러스(LGU+)에 과징금 68억 원, 과태료 2,700원이 부과됐다.
개인정보보호위원회(이하 ‘개인정보위’)는 7월 12일 전체회의를 개최하여 개인정보 유출사고가 발생한 LGU+에 대해 과징금 68억 원과 함께 과태료 2,700만 원을 부과하고, 전반적인 시스템 점검 및 취약부분 개선 등 재발 방지를 위한 시정조치(안)을 의결했다..
지난 1월 해커에 의해 불법거래 사이트에 개인정보 약 60만 건(중복 제거시 약 30만 건)이 공개된 LGU+에 대해, 그동안 개인정보위는 민관 합동조사단·경찰 등과 협조하여 조사를 진행해 왔다.
개인정보위와 한국인터넷진흥원(이하 ‘KISA’)이 분석한 결과, 유출이 확인된 개인정보는 총 297,117건(중복제거시)으로 유출 항목은 휴대전화번호·성명·주소·생년월일·이메일주소·아이디·USIM고유번호 등 26개의 항목이며, LGU+의 여러 시스템 중 유출된 데이터와 가장 일치하는 데이터를 보관하는 시스템은 고객인증시스템(CAS)인 점과, 유출시점은 2018년 6월 경인것으로 분석·확인됐다.
지난 1월부터 LGU+의 개인정보 처리‧운영 실태와 개인정보 보호법 준수여부를 조사한 결과, 확인된 주요 위반사항은 다음과 같다.
첫째, 조사가 시작된 2023년 1월까지 고객인증시스템(CAS)의 서비스 운영 인프라와 보안 환경은 해커 등의 불법침입에 매우 취약한 상황이었다.
고객인증시스템(CAS)의 운영체제(OS), 데이터베이스 관리시스템(DBMS), 웹서버(WEB), 웹 어플리케이션 서버(WAS) 등 상용 소프트웨어 대부분이 유출이 발생한 것으로 추정되는 ’18.6월 기준으로 단종되거나 기술지원이 종료된 상태였다.
또, 불법침입과 침해사고 방지에 필요한 침입차단시스템(방화벽), 침입방지시스템(IPS), 웹방화벽 등 기본적인 보안장비가 설치되지 않았거나 설치 중이더라도 보안정책이 제대로 적용되지 않았고, 일부는 기술지원이 중단된 상태였다.
특히, 고객인증시스템(CAS) 개발기에 2009년과 2018년에 업로드된 악성코드(웹셸)가 2023년 1월까지 삭제되지 않고 남아 있었고, 웹셸에 대한 점검이나 IPS의 웹셸 탐지‧차단 정책은 적용되지 않고 있었다.
둘째, 고객인증시스템(CAS) 운영기에서 관리하는 실제 운영 데이터(개인정보 포함)를 개발기, 검수기로 옮겨 테스트를 진행한 후, 일부 데이터를 방치해 2008년에 생성된 정보 등 1,000만 건 이상의 개인정보가 조사 시점까지 남아 있었다.
셋째, 다량의 개인정보를 관리하면서도, 개인정보취급자의 접근권한과 접속기록을 제대로 관리하지 않아, 대규모 개인정보를 추출‧전송한 기록을 남기지 않고 비정상 행위 여부에 대한 점검‧확인이 안되는 등 관리 통제도 부실한 상황이었다.
LGU+는 다수 국민의 개인정보를 처리하는 유‧무선 통신사업자로서 엄격한 개인정보 관리가 요구됨에도 불구하고, 고객인증(CAS) 시스템의 전반적인 관리 부실과 함께 타사 대비 현저히 저조한 정보보호‧보안 관련 투자와 노력 부족이 금번 개인정보 유출사고로 이어졌다고 판단해, 개인정보위는 ㈜엘지유플러스에 대해 보호법 위반으로 과징금과 과태료를 부과하기로 결정했다..
아울러, 최근 3년간 보호법 위반 사실이 존재하는 LGU+에 대해 개인정보보호책임자(CPO, Chief Privacy Officer)의 역할과 위상 강화, 개인정보 보호 조직의 전문성 제고, 개인정보 내부관리계획 재정립, 전반적인 시스템 점검 및 취약요소 개선 등을 시정명령 하기로 하면서, 지난 1월 사고 이후 LGU+스에서 약속한 개인정보 보호 관련 각종 투자와 2차 피해방지 대책을 차질 없이 이행할 것을 당부했다.
이번 조치는 2018년 6월경 발생한 유출로 분석되었으나, 현재까지 지속된 해당 시스템 관리의 전반적 부실 및 다수의 법규위반으로 과징금이 부과된 건으로, 평소 다량의 개인정보를 보유·처리하는 사업자의 경우 개인정보 보호 관련 예산·인력의 투입을 비용이 아닌 투자로 파악하는 전기가 될 것으로 기대한다. 또한, 데이터 경제시대 개인정보 보호 관련 최고책임자(CPO) 및 조직이 기업경영에서 차지하는 역할과 중요성에 대해 재고하게 되는 계기가 될 것으로 기대한다.
Copyright @2024 CIOCISO매거진. All rights reserved.
![[칼럼] IT관리에 반드시 필요한 AD(Active Directory)의 명(明) 과 암(暗) – 7편](http://ciociso.com/data/file/news/thumb-237248888_d0LZm7VM_2f9484b76e80219e381d870a861ae95684fb4384_118x78.jpg "[칼럼] IT관리에 반드시 필요한 AD(Active Directory)의 명(明) 과 암(暗) – 7편")
CIOCISO (ciociso.com) | 주소 : 서울특별시 노원구 동일로 1366 삼봉빌딩 604호 | 대표전화 : 02-3283-0488 | 상호명 : (주)씨미디어그룹
사업자등록번호 : 107-81-57633 | 대표자명 : 장명국 | 통신판매업신고번호 : 제2008-서울마포-01059호 | 인터넷신문 등록번호 : 서울, 아03158
등록&발행연월일 : 2014년 5월 16일 | 제호 : CIOCISO | 발행인 : 장명국 | 편집인 : 김민철 | 청소년보호책임자: 장명국
© Copyright 2012 CIOCISO All Right Reserved. mail to webmaster@ciociso.com
