[IT돋보기] LG유플러스 '개인정보 유출' 일파만파…주요 쟁점은?


서비스 탈퇴 이용자 개인정보는 제대로 파기했나

[아이뉴스24 김혜경,안세준 기자] 18만건에 달하는 LG유플러스 가입자 개인정보가 유출되면서 파장이 일고 있다. 개인정보보호위원회 등이 조사에 착수한 가운데 정확한 개인정보 유출 규모와 경위, 안전조치 의무 준수 여부가 법규 위반 여부를 따지는 핵심 쟁점이 될 전망이다.

18만건에 달하는 LG유플러스 가입자 개인정보가 유출되면서 파장이 일고 있다. 개인정보보호위원회 등은 조사에 착수한 가운데 정확한 개인정보 유출 규모와 경위, 안전조치 의무 준수 여부가 법규 위반 여부를 따지는 핵심 쟁점이 될 전망이다. [사진=픽사베이]

◆"이용자 통지 시점, 시행령까지 따져봐야"

개인정보 보호법 제34조에 따르면 개인정보처리자는 개인정보 유출을 인지했을 경우 '지체 없이' 정보주체에게 ▲유출된 개인정보 항목 ▲유출된 시점과 경위 ▲피해 최소화를 위한 조치 ▲대응조치와 피해 구제 차 ▲피해 사실을 접수할 수 있는 담당부서‧연락처 등을 알려야 한다.

'지체 없이'란 어느 정도의 시간을 뜻하는 것일까. 보호법 제39조의 4(개인정보 유출 등의 통지·신고에 대한 특례)에 따르면 정보통신서비스 제공자와 개인정보를 제공받은 자는 개인정보위 또는 대통령령으로 정하는 전문기관에 신고해야 한다. 또 정당한 사유 없이 해당 사실을 인지했을 때부터 '24시간'을 넘어서 통지·신고해서는 안 된다.

개인정보위와 KISA에 따르면 지난 2일 KISA는 외부에서 고객 개인정보 유출 관련 제보를 받은 후 LG유플러스에 이같은 내용을 전달했다. 이달 초 다크웹 해킹포럼에는 한 해커가 LG 데이터를 보유하고 있다며 구매자를 찾는다는 내용의 게시글을 올린 바 있다. 현재 해당 게시글은 삭제된 상태며, 당시 일부 데이터가 샘플로 공개됐다.

KISA는 회사 측에 개인정보 유출 내용과 침해사고 가능성을 안내했고 내부적으로 확인 작업을 거친 LG유플러스는 지난 3일 KISA에 관련 내용을 전달했다. 같은날 개인정보위도 인지했고 LG유플러스는 5일과 9일 세 차례에 걸쳐 위원회에 신고했다.

유출 규모가 18만건으로 확인된 것은 9일이다. 다음날인 10일 LG유플러스는 홈페이지와 문자 등을 통해 개인정보 유출 사실을 이용자에게 알렸다. KISA에 따르면 이번 사건이 침해사고로 정식 접수된 것은 10일이다. 침해사고란 해킹, 서비스 거부 등 외부에서 시스템을 공격하는 행위로 인해 발생한 사고를 뜻한다.

보호법 위반 여부를 따지기 위해선 유출 인지부터 신고, 정보주체 통지 시점까지 벌어진 과정을 들여다봐야 할 것으로 보인다. 정부기관 신고와는 별개로 유출 인지 시점이 2일이라면 이용자에게 통지하기 전까지 약 1주일의 시간이 흐른 셈이다.

보호법 시행령 제40조에서는 '유출된 개인정보 확산과 추가 유출을 방지하기 위해 접속경로 차단, 취약점 점검·보완, 유출된 개인정보의 삭제 등 긴급한 조치가 필요한 경우에는 그 조치를 한 후 지체 없이 정보주체에게 알릴 수 있다'고 명시하고 있다.

고객 통지 지연 여부가 쟁점으로 부각된 가운데 보호법과 시행령 등을 모두 살펴봐야 한다는 것이 개인정보위의 설명이다.

'개인정보 유출 대응 매뉴얼' 일부 발췌. [사진=개인정보위]

◆탈퇴·자회사 이용자 정보도 유출?

구체적인 유출 규모를 파악하는 것도 관건이다. 이미 탈퇴한 이용자 개인정보도 일부 포함된 것으로 확인돼 추후 조사 과정에서 유출 규모가 늘어날 가능성도 배제할 수 없다는 것. 이 경우 개인정보를 보유기간이 지난 후 파기했는지 여부도 쟁점으로 부각될 것으로 보인다.

LG유플러스 관계자는 "해커가 판매글을 올린 것은 이달 초지만 해커가 해당 데이터를 보유한 시점은 훨씬 더 과거일 수 있다"며 "당시에는 자사 서비스 이용자였지만 최근 알뜰폰 자회사 고객으로 변경됐을 가능성도 고려해야 한다는 것"이라고 말했다.

이어 "통신사 변경 가능성도 고려해 일부 알뜰폰 가입자 등에게도 공지했다"며 "LG유플러스망을 이용하는 모든 고객사 데이터가 유출된 것은 아니다"고 덧붙였다.

'전자상거래 등에서의 소비자보호에 관한 법률(전자상거래법)'에 따르면 계약 혹은 청약철회 등에 관한 기록 목적의 개인정보 보유기간은 5년이다. 또 표시·광고 기록은 6개월, 소비자 불만·분쟁처리에 관한 기록은 3년 등으로 명시하고 있다.

보호법 제21조에 따르면 개인정보처리자는 보유기간의 경과, 개인정보 처리목적 달성 등 개인정보가 필요하지 않을 경우 지체 없이 개인정보를 파기해야 한다. 다만 다른 법령에 따라 보존해야 하는 경우를 예외로 두고 있다.

유출된 데이터에 보유기간이 경과된 개인정보가 포함됐을 경우도 고려해야 한다는 것이다. 지난 2021년 5월 LG유플러스와 KT는 보유기간이 지난 개인정보를 파기하지 않고 보관한 사실이 확인돼 각각 과태료 360만원을 부과받은 바 있다. LG유플러스 관계자는 "서비스별 개인정보 보관기간이 다르며 개인정보 보호법에 따라 보관하고 있다"고 말했다.

/김혜경 기자(hkmind9000@inews24.com),안세준 기자(nocount-jun@inews24.com)







포토뉴스