30만명의 개인정보 유출 사고가 발생한 LG유플러스에 과징금 68억원이 부과됐다.

개인정보보호위원회는 전체회의를 거쳐 LG유플러스에 과징금 68억원과 과태료 2700만원을 부과하기로 결정했다고 12일 밝혔다.

앞서 LG유플러스는 해킹 공격으로 이용자들의 개인정보 60만건이 불법거래 사이트에 노출됐다.

조사 결과 유출 시점은 2018년 6월로 추정됐지만 LG유플러스는 지난 1월에 사고를 인지하고 경찰청 사이버수사대와 한국인터넷진흥원(KISA)에 신고했다. 이마저도 KISA가 해당 사고를 먼저 인지한 뒤에 이뤄졌다.

개인정보 유출 피해를 입은 이용자 수는 모두 29만7117명으로 드러났다. 이용자의 휴대전화번호·성명·주소·생년월일·이메일·유심(USIM) 고유번호 등 26개 항목이 노출됐다.

개인정보위는 LG유플러스 보안 투자 수준이 낮고 노력이 미흡해 이같은 사고가 발생했다고 지적했다.

개인정보 유출에 대비한 소프트웨어와 보안장치 부실이 사고로 이어졌다고 판단한 것이다. LG유플러스가 사용하는 고객인증시스템(CAS)가 가장 큰 문제로 꼽혔다.

CAS는 LG유플러스가 부가서비스를 제공할 때 고객인증과 부가서비스 가입·해지 기능을 지원하는 시스템이다. 유출된 개인정보 항목이 CAS에서 처리하는 데이터와 유사하다는 게 개인정보위의 판단이다.

LG유플러스는 CAS에 다량의 개인정보를 보관했지만 개인정보취급자의 접근 권한과 접속 기록을 관리하지 않은 것으로 나타났다. 대규모 개인정보를 추출·전송한 기록이나 비정상적인 접근이 확인되지 않는 등 관리와 통제가 부실한 것으로 전해졌다.

개인정보위 관계자는 "과징금 산정은 정보가 유출된 CAS가 부가서비스 인증 시스템이기 때문에 전체 매출액이 아닌 부가서비스 매출액으로 한정했다"고 말했다.