고객인증시스템 해커 취약..."서비스매출로 과징금산정"
"전사적 재발방지대책 추진..보안 강한 회사로 거듭"
[서울=뉴스핌] 김지나 조수빈 기자 = LG유플러스가 개인정보보호위원회로부터 지난 1월 해커 공격으로 개인정보 약 30만 건을 유출한 건에 대해 68억원의 과징금과 2700만원의 과태료를 부과받았다. 이번 과징금 산정 기준이 전체 매출액을 기준으로 하지 않고 관련 서비스 매출액 기준으로 삼은 만큼, LG유플러스 입장에선 최악은 피할 수 있게 됐다.
12일 개보위는 전체회의를 통해 LG유플러스에 과징금과 과태료를 부과했다. 관련해 개보위 측은 여러 시스템 중 유출된 데이터와 가장 일치하는 데이터를 보관하는 시스템은 고객인증시스템(CAS)인데, CAS 서비스 운영 인프라와 보안 환경에 해커의 불법 침입 취약점이 드러났다고 밝혔다.
LG유플러스 용산 사옥. [사진=LG유플러스] |
만약 개보위가 과징금을 까다롭게 산정해 CAS가 전체 매출과 관계가 있다고 판단, 과징금 기준을 전체 매출 기준으로 삼았을 경우 과징금 규모는 수천억원대로 불어나게 된다. 하지만 이번 과징금 산정 기준은 CAS 관련 서비스 매출액을 기준으로 산정됐다.
개보위 관계자는 "과징금을 CAS 관련 서비스 매출액 기준으로 최대 3%로 부과했고, 단기 위반이냐 장기 위반이냐에 따라 과징금 부과 기준이 달라지게 된다"면서 "주된 유출 서비스는 CAS 서비스로 법리에 따라 CAS의 부가서비스 가입, 해지 등과 같은 부가서비스까지 관련 매출액으로 잡았다"고 설명했다. 지난달 개보위로부터 고객정보 유출로 과징금을 부과 받은 LG헬로비전 역시 동일하게 유출 정보 관련 서비스 매출액 기준으로 과징금이 산정됐다.
만약 개보위가 9월 15일 이후로 LG유플러스 과징금 결정을 미뤘다면, 과징금 규모가 불어날 수 있다. 지난 3월 개인정보보호와 관련된 개정법이 공포됐는데, 과징금 기준이 크게 상향됐기 때문이다.
현행은 위반 행위와 관련한 매출액의 3% 이하로 규정하고 있지만, 개정된 내용에는 원칙적으로 전체 매출액의 3% 이하로 보고 위반 행위와 관련 없는 매출은 제외하도록 하고 있다. 이 개정법은 9월 15일부터 시행된다.
개보위 관계자는 "전체 매출액 기준 과징금 산정은 9월 이후부터 보고 지금까지는 관련 서비스 매출액 기준으로만 과징금을 보고 있다"면서 관련 서비스 산정 기준에 대해선 "서비스 제공 방식과 가입 방법, 이용약관상의 서비스 제공 범위, 서비스 운영 조직, 인력 등을 종합적으로 고려했다"고 설명했다.
이번 과징금 건에 대해 LG유플러스 측은 "지난 2월부터 1000억원 규모의 정보보호 투자계획을 포함해 전사적 차원의 재발 방지 대책을 추진하고 있다"면서 "앞으로도 고객들에게 신뢰를 줄 수 있는 보안에 강한 회사로 거듭나겠다"고 공식 입장을 밝혔다.
abc123@newspim.com beans@newspim.com