[비즈한국] LG유플러스에서 발생한 개인정보 유출 사태가 좀처럼 가라앉지 않고 있다. 피해 고객 수가 적지 않은 데다 유출된 정보도 광범위하기 때문. LG유플러스의 부실한 개인정보 관리로 인해 문제가 지속적으로 발생하는 가운데, 처벌이 솜방망이 수준에 그치기 때문이라는 지적이 나온다.
#늑장 대응에 피해 대책·구제방안 없어
새해 벽두부터 개인정보 유출 문제로 전국이 들썩였다. LG유플러스는 지난 10일 홈페이지 ‘개인정보 유출 여부 및 정보 항목 조회 안내’ 공지로 사건을 알렸다. 공지에는 “고객 약 18만 명의 정보 유출이 확인돼 개인별로 문자, 이메일 등을 통해 고지하고 있다”라며 “유출된 개인정보는 개인별로 차이가 있지만 성명, 생년월일, 전화번호 등이며 납부 관련 금융정보는 포함되지 않았다”라는 내용이 담겼다.
하지만 공지와 달리 실제 유출된 정보가 단말기 종류·유심 번호·이용 상품 등으로 광범위하며, LG유플러스가 해킹 사실을 적극적으로 알리지 않아 가입자의 분노를 키웠다. 홈페이지에 팝업창을 띄우지도, 고객센터 앱 화면에 표시하지도 않았고 일반 가입자에게도 아무런 연락을 하지 않아 뒤늦게 사건을 알게 된 이들이 적지 않았다.
홈페이지 공지조차 미흡했다. 개인정보 보호법 제34조와 시행령 제40조에 따르면 개인정보 처리자는 개인정보가 유출됐을 때 정보 주체에게 서면 등의 방법으로 지체 없이 알려야 한다. 알려야 하는 내용에는 △유출된 항목 △유출 시점과 경위 △피해를 최소화하기 위해 정보 주체가 할 수 있는 방법 △대응조치와 구제 절차 △담당 부서 연락처 등이 포함된다. 그러나 공지에선 ‘고객님의 소중한 정보가 부적절하게 이용될 수 있으니 유의해 주시기 바랍니다’라는 문구 외엔 정보가 유출된 고객이 취해야 할 대응책이나 구제 절차는 찾아볼 수 없다.
LG유플러스에 따르면 해킹 사실을 확인한 것은 1월 2일이다. 한국인터넷진흥원(KISA)으로부터 내용을 전달받아 일주일가량 유출된 정보 확인에 나섰고, 10일 유출 사실을 홈페이지에 게시한 것. 개인정보 보호법 제39조의4에서는 개인정보를 제공받은 자가 정보 유출 사실을 안 때부터 24시간 이내에 통지·신고하도록 명시한다. 예외로 인정하는 정당한 사유에는 ‘이용자의 연락처를 알 수 없을 때’ 등이 해당한다. 대응이 늦었다는 비판에서 벗어나기 어려운 이유다.
LG유플러스 측은 “KISA로부터 정보 유출 여부를 확인하라는 요청을 받고 샘플 확인 후 1월 3일 바로 수사기관에 신고했다”라며 “현재 경찰, KISA, 개인정보보호위원회(개인정보위), 과학기술정보통신부에서 조사 중으로, 해킹 경로는 조사 결과에서 나올 것”이라고 설명했다.
다크웹 해커가 2000만 건 이상의 정보를 보유했다는 의혹에는 “이번 유출과 별개의 건으로 사실 확인이 안 됐다”라고 답했다. 또 개인정보 유출의 타깃이 된 이유가 화웨이 장비 사용 탓이라는 논란에는 “전혀 상관없다. 풍문일 뿐 지금까지 인과관계가 확인된 적 없다”라고 선을 그었다.
소비자 단체에선 정보가 유출된 가입자를 위한 공동 대응을 예고했다. 한국소비자단체연합(한소연)은 11일 “LG유플러스는 피해 소비자에게 합리적인 보상을 해야 한다”라며 “신속하게 보상이 이뤄지지 않을 경우 피해 소비자를 모아 집단 소송을 제기할 예정”이라고 밝혔다. 한소연은 회사의 대응을 주시하며 피해 사례와 소비자를 모으고 있다. LG유플러스는 해킹 조사 결과에 따라 보상 여부를 결정한다는 방침이다.
개인정보위는 9일부터 사실조사를 진행 중이다. 개인정보 유출 경위, 규모, 안전조치 의무 준수 여부 등 법규 위반사항이 확인되면 행정처분하고 재발 방지 대책을 점검할 예정이다.
#개인정보 유출에도 과태료 고작 수천만 원
최근 3년간 LG유플러스에서 여러 차례 개인정보 관련 사건이 발생했다는 점도 문제다. 회사의 개인정보보호 노력과 보안 의식을 향한 지적이 나오는 이유다. 개인정보위가 통합 감독기구로 출범한 이후 개인정보 보호법 위반으로 인한 제재한 업체를 조사한 결과, LG유플러스는 2020년 8월~2022년 12월 사이 연 1회 이상 시정 조치를 받아 3년간 약 4000만 원의 과태료·과징금이 부과됐다.
개인정보위는 2020년 12월 LG유플러스에 과태료 1000만 원, 과징금 1160만 원을 부과했다. 2016~2019년 대리점이 매집점에 고객 개인정보를 공유할 동안 LG유플러스가 이들에 대한 관리감독에 소홀했다는 책임을 물어서다. 이는 당국이 대리점에 개인정보를 위탁한 통신사의 소홀한 관리감독을 인정한 첫 사례다.
이어 2021년 5월에는 보유기간이 지난 개인정보를 파기하지 않아 360만 원의 과태료 처분을 받았다. 2022년 9월에는 임직원 메일 정보가 다크웹에 유출돼, 해킹에 대한 안전조치 미흡으로 과태료 600만 원이 부과됐다. 11월에는 개인정보 안전조치 모의 테스트 과정에서 암호화 없이 개인정보 파일을 사용하고, 이를 네트워크에 공유하는 등 개인정보를 유출 위험에 노출해 과태료 1200만 원 처분을 받았다. 앞서 4월에는 알뜰폰 사업을 하는 자회사 LG 헬로비전에 전송구간 암호화 의무 위반 등으로 과태료 1100만 원이 부과됐다.
12월에는 LG유플러스 일부 가입자의 요금제가 당사자 모르게 고가의 요금제로 바뀌는 사건이 발생했다. 당시 회사 측은 “외부에서 유출한 고객 정보가 요금제 변경에 이용된 것으로 보인다”라고 해명했다. 이에 한소연은 “12월부터 징조가 있었는데 안일하게 대처했다”라며 “게다가 해킹 사실을 자체적으로 인지하지 못하고 KISA의 연락을 받고 알았다는 건 LG유플러스의 보안 불감증을 보여준다”라고 비판했다.
이 같은 기업의 보안 불감증은 솜방망이 처벌 때문이라는 지적이 나온다. 과징금이 건당 수백 만원에 불과해, LG유플러스가 매년 1회 이상 시정 조치를 받아도 물어야 할 금액은 고작 4000만 원에 그친다. 한 해 영업이익이 1조 원에 가까운 대기업에겐 미미한 수준이다. 개인정보 보호법 위반으로 억대 과징금을 받으면 소송을 통해 ‘금액을 줄여달라’고 나서기도 한다. KT는 2013년 마이올레 홈페이지가 해킹돼 1만 건이 넘는 개인정보를 유출한 사건으로 7000만 원의 과징금을 받았지만, 소송 끝에 2000만 원을 감액했다.
해외에선 기업이 해킹을 당해 고객 개인정보가 유출됐을 때 무거운 벌금을 매긴 사례를 종종 볼 수 있다. 2021년 메타(옛 페이스북)는 아일랜드 데이터보호위원회로부터 2억 6500만 유로(약 3555억 원)의 벌금을 부과받았다. 2018~2019년 해커가 페이스북 가입자 5억 명의 정보를 탈취하는 동안 메타 측이 막지 못했다는 이유다. 미국 투자은행 모건스탠리는 고객 정보가 담긴 서버를 제대로 관리하지 않은 탓에 2020년 6000만 달러(744억 원)의 벌금이 부과됐고, 같은 금액을 고객들에게 보상하기로 했다.
한편 이번에 개인정보가 유출된 LG유플러스 가입자는 새 유심을 쓰는 것 외엔 아직까지 뚜렷한 대책이 나오지 않았다. 김승주 고려대 정보보호대학원 교수는 “단말 모델, 유심 번호 등의 정보가 악용될까봐 걱정된다면 유심 자체를 바꾸는 게 효율적”이라고 조언했다.
심지영 기자
jyshim@bizhankook.com[핫클릭]
·
가격 떨어진 지금이 적기…배달대행 플랫폼 '부릉' 인수전 막전막후
·
[건설사 돈맥진단] '영끌로 급한 불 껐지만…' 롯데건설의 남은 과제
·
증시 하락 부추긴 '공매도' 금지 놓고 금융당국 수장 '엇박자' 논란
·
휴대전화 할부수수료 명시 1년, '깨알' 문구 효과 있을까
·
'대한민국에 5G는 없다' 이통3사 품질조사결과 살펴보니