당초 LG유플러스가 언급한 정보보다 많은 항목 유출
유출 규모도 18만명보다 늘어날 가능성 있어
[시사포커스 / 임솔 기자] LG유플러스 고객의 개인정보가 유출된 사건과 관련해 유출 규모가 당초 예상보다 더 커질 가능성이 점쳐지고 있다. 이에 정부가 조사에 나선 가운데 소비자단체들은 LG유플러스에 보상을 촉구하고 있다.
12일 업계에 따르면 LG유플러스는 최근 정보 유출 피해 고객에게 안내문을 발송하고 있는데, 여기에는 당초 LG유플러스가 유출됐다고 공지한 성명, 생년월일, 전화번호 외에 암호화된 주빈번호, 가입자 고유식별번호(IMSI), 단말모델명, 단말기 고유식별번호(IMEI), 이메일, 암호화된 비밀번호, 가입일, 유심번호, MAC주소, 웹아이디, 가입 상품명, 고객정보 변경 시간 등이 포함됐다.
앞서 LG유플러스는 지난 10일 자사 홈페이지 공지사항을 통해 현재까지 약 18만명의 개인정보가 유출된 사실을 인지했다고 밝혔다. 당시 LG유플러스는 “유출된 고객님의 개인정보는 개인 별로 차이가 있으나 성명, 생년월일, 전화번호 등”이라며 “납부 관련 금융정보는 포함돼있지 않다”고 설명했다.
이에 대해 개인정보보호위원회는 지난 9일 LG유플러스에 대한 사실조사에 착수했으며, 지난 11일에는 LG유플러스 상암사옥 현장조사를 실시했다.
양청삼 개인정보보호위원회 조사조정국장은 “개인정보 유출 경위 및 유출 규모 안전조치 업무 준수 여부 등 개인정보보호법 위반 여부를 철저히 조사해 위반 사항이 확인되면 엄정 처분하겠다”며 “재발 방지 대책 등에 대해서도 충실히 점검할 계획”이라고 말했다.
양 국장은 유출 규모가 18만명보다 더 커질 수도 있다고 지적했다. 그는 “현재 개인정보 18만 건이 유출됐다고 알려져 있는데 그것보다 더 많은 유출이 있을 수도 있다”며 “유출 경위를 철저하게 파악해 유출규모를 확인하는 과정이 가장 기본일 것”이라고 강조했다.
한편 LG유플러스는 개인정보보호 법규를 위반했다는 이유로 지난해 9월과 11월 두 차례에 걸쳐 개인정보보호위원회로부터 총 1800만원의 과태료를 부과 받은 바 있다.
지난해 9월 당시 개인정보위는 LG유플러스가 해킹에 대한 안전조치가 미흡하다며 과태료를 부과했다. 개인정보위에 따르면 LG유플러스는 임직원 등의 교육시스템 내 일부 페이지가 접속(로그인) 없이 접근 가능했고 특수문자 차단 기능을 적용하지 않아 SQL 주입 공격으로 임직원 등의 메일정보가 지하웹(다크웹)에 게시됐다.
SQL 주입은 데이터베이스에 대한 질의값을 조작해 해커가 원하는 자료를 데이터베이스로부터 빼내는 공격 기법을 말한다.
11월에는 LG유플러스 대리점 시스템의 개인정보 안전조치 모의테스트 수행과정에서 가상 파일이 아닌 실제 개인정보파일을 사용한 것이 문제가 됐다. 해당 파일을 암호화하지 않고 네트워크 폴더에 공유해 테스트에 참여하지 않은 대리점도 접근할 수 있었다.
이로 인해 개인정보가 실제로 유출되지는 않았지만 개인정보위는 유출될 위험성이 있는데도 이를 방치한 행위에 대해 안전조치 위반으로 판단했다.
이 같은 사례가 반복되다 보니 소비자 단체에서는 LG유플러스의 합리적이고 신속한 보상을 촉구하고 나섰다.
시민단체인 한국소비자단체연합은 “정확한 유출 시점과 경위, 개인정보 내역 등을 투명하게 공개하고, 재발방지 대책마련과 더불어 소비자들에 대한 합리적인 신속하게 보상하라”고 밝혔다.
이어 “한국인터넷진흥원의 연락을 받고 해킹사실을 알게 됐다는 것은 LG유플러스의 보안 불감증을 보여주는 심각한 문제”라며 “신속하게 합리적인 보상이 이루어지지 않을 경우에는 개인정보 유출 피해소비자를 모아 공동소송을 제기할 예정”이라고 덧붙였다.
소비자주권시민회의도 성명을 통해 “LG유플러스는 아직도 유출 경위에 대해 파악하지 못하고 있다”며 “LG유플러스를 엄중하게 처벌하고 수사결과에 따라 민·형사적 책임을 다하도록 해야 한다”고 말했다.
이들은 기업의 개인정보보호 인식 개선과 개인정보유출 피해 예방을 위해 정보통신망법의 개정을 촉구했다. 아울러 집단소송제 도입과 손해액의 최대 3배까지로 규정돼 있는 징벌적 손해배상제 강화도 시급하다고 주장하고 있다.
이에 대해 LG유플러스 관계자는 “이번 사건과 관련한 현황을 파악하기 위해 수사기관이 수사를 진행하고 있고, LG유플러스는 여기에 최대한 협조하고 있다”며 “소비자 보상안 같은 경우는 수사 결과가 발표되고 피해 여부를 파악한 이후에 논의될 전망”이라고 답했다.