[아이뉴스24 김혜경 기자] LG헬로비전이 안전조치 의무 위반으로 11억원이 넘는 과징금을 부과받았다. 약 1년간 접근통제 조치를 해제했고 취약점 문제를 제대로 해결하지 않아 4만6천여명의 개인정보가 유출됐기 때문이다.
28일 개인정보보호위원회에 따르면 LG헬로비전은 알뜰폰 서비스를 제공하는'헬로모바일'과 '헬로다이렉트몰' 홈페이지에서 상담문의 게시판을 운영하면서 '크로스 사이트 스크립팅(Cross-site Scripting, XSS)'이라는 웹 취약점에 대한 조치를 제대로 하지 않았다.
XSS는 홈페이지에 악성 스크립트를 삽입할 수 있는 취약점으로 공격자는 스크립트 실행으로 사용자의 쿠키와 세션을 탈취할 수 있다. 초고속인터넷‧케이블TV 서비스 제공 홈페이지의 경우 LG헬로비전은 소프트웨어(SW) 개발사가 공개한 세션 보안 취약점에 대한 업데이트를 하지 않았다. 이는 개인정보보호법 제29조 위반에 해당된다. 보호법 위반 여부를 따지는 쟁점이다.
한국인터넷진흥원(KISA)에 따르면 보호법 위반행위 유형 가운데 안전조치 의무 위반 유형이 66%로 가장 많은 것으로 집계됐다. 이는 지난해 개인정보위가 공개한 의결서 내용을 토대로 집계한 수치다. 안정성 확보조치 기준은 개인정보처리자 지정을 비롯해 ▲내부관리계획 수립‧시행 ▲접근권한 관리‧접근통제 ▲암호화 ▲개인정보 파기 ▲악성프로그램 방지 ▲관리용 단말기 안전조치 등이 포함된다.
홈페이지 내 특정 게시판에 취약점이 발생한 원인은 무엇일까. 이날 전체회의에서 LG헬로비전 법률대리인은 "당시 마케팅 차원으로 이벤트를 진행했는데 트래픽 과부하 문제가 우려됐다"며 "다른 서비스에 영향이 미칠 것을 우려해 이벤트 기간에 일시적으로 (접근통제 조치 등을) 풀었다"고 말했다.
이어 "지금 와서 돌이켜보면 뼈 아픈 부분"이라고 덧붙였다. 원활한 이벤트 진행을 위해 해당 기간에 한정해 보안 조치를 완화할 수밖에 없었다는 것이 LG헬로비전 측 설명이다.
반면 개인정보위는 '일시적인' 완화가 아니라는 점을 강조했다. 이정은 조사조정국 조사1과장은 "피심의인은 이벤트 진행 시에만 트래픽 부하 문제로 보안 조치를 완화했다고 언급했는데 사실이 아니다"며 "2021년 7월부터 지난해 6월까지 웹방화벽 등 침입탐지시스템이 작동하지 않은 것으로 조사됐다"고 말했다. 이 과장은 "이벤트는 단 건이 아닌 여러 건이 진행됐는데 이벤트 기간 동안 보안 조치가 완화된 것으로 보인다"고 전했다.
개인정보위 비상임위원은 "트래픽 과부하를 우려해 보안 조치를 해제한 부분을 어떻게 볼 것인지 따져봐야 한다"며 "어쨋든 잘못된 정책으로 인해 개인정보 유출 사건이 벌어진 것"이라고 지적했다. 향후 비슷한 사례가 발생할 수 있으므로 위원회 차원의 논의가 필요하다는 것.
LG헬로비전 측은 정보보호 부문에 500억원을 투자할 예정이라고 전했다. 이날 전체회의에 참석한 이건호 LG헬로비전 정보보호국장은 "사고 원인과 관련된 조치는 이미 완료했고 IT 영역 전반에 걸친 취약점 전수조사도 진행하고 있다"며 "위탁자에 대한 현장점검도 강화할 것이라고 말했다.
이어 "사이버 위협에 고도화되고 있는 상황에서 기존 연단위로 진행했던 취약점 관리도 상시 체계로 전환하겠다"고 덧붙였다.
/김혜경 기자([email protected])
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기