이용자 개인정보를 다량 유출한 LG유플러스 제재 여부에 눈과 귀가 집중된다. 관건은 회사가 사고를 인지하고 신고하는 과정에서 개인정보보호법을 위반했느냐다. 조사 초기라 제재를 논할 단계는 아니라는 게 정부 입장이지만 전례가 있는 만큼 더 예의주시하는 모습이다.
관건은 ‘개인정보보호법 위반’
개인정보보호위원회는 지난 11일 브리핑을 열고 “개인정보 유출 경위, 유출 규모, 안전조치의무 준수 여부 등 ‘개인정보 보호법’ 위반 여부를 조사해 위반 사항이 확인되면 엄정히 행정처분하고 LG유플러스 재발방지 대책 등을 점검할 계획”이라고 밝혔다.
LG유플러스는 이달 초 가입자 18만 명에 달하는 개인정보를 유출했다. 유출 정보는 가입자 성명과 생년월일, 전화번호 등이며 금융정보는 포함되지 않은 것으로 알려졌다. LG유플러스는 지난 2일 한국인터넷진흥원(KISA)으로부터 유출사실을 인지했고, 이튿날인 3일 신고했다. 유출사실을 이용자에게 알린 날은 10일이다.
LG유플러스 관계자는 “유출 의심사례를 분석하고 불필요한 데이터를 정리했다”고 설명했다.
개인정보보호법을 보면 이용자 개인정보를 제공받은 자는 개인정보 분실·도난·유출 사실을 안 때에는 지체 없이 이용자에게 알리고, 보호위원회 또는 대통령령으로 정하는 전문기관에 신고해야 한다. 또 정당한 사유 없이 그 사실을 안 때부터 24시간을 경과해 통지·신고해서는 안 된다.
시행령은 그러나 ‘유출된 개인정보 확산과 추가유출을 방지하기 위해 접속경로 차단, 취약점 점검·보안, 유출된 정보 삭제 등 긴급한 조치가 필요한 경우에는 그 조치를 한 후에 지체 없이 정보주체에게 알릴 수 있다’고 명시하고 있다.
기업이 KISA와 정부 당국에 신고하는 것과 별개로 통지는 유출된 정보 항목 주체가 누구인지 확정돼야 가능한 점 등이 제재 당락을 정할 것으로 보인다.
양청삼 개인정보위 조사조정국장도 고객 통지 지연으로 과징금이 커질 수 있느냐는 물음에 “과징금이나 과태료를 논할 단계는 아니다”면서 “사실조사에 따라 보호법 위반 여부 파악해야 할 것”이라고 답했다.
정보 추가 유출 가능성에 관해서도 “유출 규모보다 더 많을 수 있다”라면서도 “이 내용 또한 철저하게 유출 경위가 파악돼야겠고 유출항목, 유출규모가 어떤지 철저하게 확인하는 과정이 가장 기본일 것”이라고 밝혔다.
위원회는 이날 LG유플러스 서울 상암사옥 현장을 조사했다.
LG유플 입지 ‘흔들’
‘3등 이동통신사’ LG유플러스는 이번 사고로 입지가 흔들리고 있다. 신뢰가 생명인 이동통신사인데 보안 취약성이 드러났다. 가입자 대량 이탈이 우려되는 대목이다.
최근 5년(2018~2022년) 사이에 해킹으로 인한 개인정보 유출사고는 한 건 더 있다.
LG유플러스는 지난해 9월 특수문자 차단 기능을 적용하지 않아 에스큐엘(데이터베이스에 대한질의값을 조작해 해커가 원하는 자료를 데이터베이스로부터 빼내는 공격 기법) 주입 공격을 받았고 임직원 등의 메일정보가 다크웹에 게시됐다.
LG유플러스는 당시 과태료 600만원을 부과 받았다.
이번 사건 역시 제재가 가해진다면 현행법에 따라 ‘관련 매출액’을 기준으로 과태료나 과징금이 산정될 전망이다. 이번 사고가 소송으로 이어질지도 관심사다. KT도 10년 전 개인정보유출 사고로 피해자들과 법적 다툼을 벌이고 있다.
LG유플러스 관계자는 “고객 정보유출을 확인했고 정확한 유출경로는 수사 중”이라며 “수사에 적극 지원하고 있다”고 밝혔다.
송금종 기자 song@kukinews.com
