최근 18만 고객정보 유출
정부 메뉴얼 미흡 여부, 유권해석 필요한 지점
통신사 중 정보보호 인력·투자 가장 적어
이미 지난해 개보위로부터 두차례 과태료
정부·조사기관 현장조사 착수
[촬영 안 철 수]
[파이낸셜뉴스]새해초 고객정보 유출 사고로 LG유플러스의 개인정보보호 역량이 또다시 도마 위에 올랐다. 지난해 개인정보보호위원회로부터 두 차례 과태료를 부과받은 LG유플러스는 통신3사 중 정보보호 부문 투자에 가장 소극적인 것으로 나타났다. 정부도 현장 조사 등 구체적인 원인 파악에 나섰다.
11일 통신 업계에 따르면 LG유플러스는 지난 10일 고객 개인정보가 유출된 사실을 홈페이지를 통해 공지했다. 18만 유·무선 및 IPTV 고객의 금융 정보를 제외한 이름, 생년월일, 전화번호 등 개인정보가 유출됐다는 설명이다.
LG유플러스가 유출 사실을 인지한 날짜는 지난 2일이다. 이튿날인 3일 경찰 사이버수사대와 한국인터넷진흥원(KISA) 등 수사·정부기관에 수사를 의뢰했다. 결과적으로 유출 최초 인지 시점과 공지 시점 간 일주일가량 시간이 소요된 셈이다.
하지만 정부가 지난 2016년 제정한 개인정보 보호 대응 매뉴얼에 따르면 개인정보보호법에 따라 유출 사실을 인지한 시점부터 24시간 내 고객에게 통지해야 한다. 대규모 유출로 24시간 이내 전체 통지가 기술적으로 어려운 경우에는 홈페이지 팝업창 등을 통해 방문 이용자가 모두 알 수 있도록 당시까지 파악된 유출 사실을 등을 게시한 후 추가적인 개별 통지를 진행해야 한다.
다만 유출된 개인정보 확산 및 추가 유출 방지를 위해 긴급 조치가 필요하다고 인정되는 경우에만 조치 후 5일 내 정보주체에 알릴 수 있다고 명시하고 있다. 대신 메뉴얼은 "긴급조치가 필요하다고 인정되지 않는 경우에는 3000만원 이하의 과태료가 부과될 수 있다"고 명시하고 있다. 관계 당국의 유권해석이 필요한 지점이다.
LG유플러스 측은 일주일 간 간극에 대해 "불명확한 데이터를 확인하고, 고객을 특정하는 데 시간이 걸렸다"고 해명했다.
개인정보보호위원회는 이날 개인정보보호법 위반 여부 파악을 위해 현장조사를 진행하면서 "위반사항이 확인되면 엄정히 행정처분하고, 재발방지 대책 등을 점검할 계획"이라고 전했다.
2022년 기준 통신3사 정보보호부문 투자 현황 |
|
SK텔레콤(SKB 별도) |
KT |
LG유플러스 |
정보보호부문 인력 |
196명 |
335명 |
91명 |
정보보호부문 투자액 |
약 626억5700만원 |
약 1021억1000만원 |
약 291억8660만원 |
|
(한국인터넷진흥원 정보보호 공시 종합 포털) |
|
이런 가운데 KISA 정보보호 공시 종합 포털에 따르면 지난해 기준 LG유플러스의 정보보호부문 투자액은 291억8660만원이다. △SK텔레콤(SK브로드밴드와 별도) 626억5700만원 △KT 1021억1000만원에 비해 낮다. 정보보호부문전담인력(내·외부 포괄)은 △SK텔레콤 196명 △KT 335명 △LG유플러스 91명으로 파악됐다.
이미 LG유플러스는 2021년과 2022년 개인정보보호위원회로부터 두차례 과태료를 부과받은 바 있다. 임직원·고객 개인정보를 관리하는 데 있어 안전조치가 미흡했다는 이유에서다.
LG유플러스는 이번 사태에 대해 "해당 고객정보의 유출 시점과 경위를 파악하기 위해 수사기관 및 정부기관의 조사에 적극 협조하고 있으며 모니터링 시스템을 강화하고, 조사결과에 따라 재발 방지 대책을 마련할 예정이다"고 했다.
jhyuk@fnnews.com 김준혁 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지