LG유플러스가 유출된 29만명의 개인정보 가운데 해지고객의 정보관리에 소홀했던 것 아니냐는 지적이 나온다.
7일 LG유플러스에 따르면 사측은 지난 1월 초 불법 판매자로부터 약 29만명의 개인정보가 포함된 데이터를 입수했다. 불법 판매자가 LG유플러스의 데이터를 가지고 있다는 주장이 사실인지 여부를 파악하기 위해서다. 어떤 경로로 불법판매자에게서 데이터를 입수했는지에 대해서는 함구했다.
LG유플러스는 획득한 데이터 29만건 중 18만건에 대해 개인정보보호위원회(개인정보위)에 고객 정보가 유출됐다고 지난달 9일 신고했다. 이어 같은 달 20일 3만건을 추가로 신고했고, 같은 달 31일 개인정보위의 조사 과정에서 해지 고객의 정보 8만여건이 유출된 것이 확인됐다. 전자상거래 등에서의 소비자보호에 관한 법률에 따르면 계약 또는 청약철회, 대금결제 및 재화 등의 공급에 관한 기록은 5년까지 보관된다.
지난 3일 공지를 통해 LG유플러스는 “개인정보 유출로 심려를 끼쳐 진심으로 사과드린다”며 “당시에는 파악할 수 없었던 나머지 11만명 이용자 정보가 해지 고객 데이터 등에서 확인돼 추가 안내해 드린다”고 공지했다.
LG유플러스 관계자는 11만명의 유출 정보가 뒤늦게 개인정보위 조사 과정에서 밝혀진 이유에 대해 "해지 고객의 정보는 개인정보위 등 권한 있는 기관의 협조가 있어야 열람 가능하기 때문'이라며 “사업자가 임의로 해지 고객 자료에 접근할 수는 없다”고 해명했다.
이에 대해 개인정보위는 이해하기 어려운 해명이라는 입장이다. 해당 사건을 조사 중인 개인정보위 관계자는 “자료에 접근할 수 없기에 해킹·유출이 이뤄진지 알 수 없었다는 이야기는 해지고객에 대한 관리가 아예 안 되고 있다는 이야기 아니냐”고 반문했다.
해지 고객의 정보가 사각지대에 놓여 있다는 지적도 나온다. 만약 이 같은 유출 사태가 또 다시 발생해도 LG유플러스는 언론 보도와 정부 당국의 통보를 통해 해지고객의 피해 사실을 뒤늦게 인지하고 불법판매자로부터 유출된 정보를 다시 입수해서 분석해야한다는 뜻이기 때문이다. 다만 LG유플러스 측은 피해 사실 인지 후 즉각 후속조치를 했기에 법적 문제는 없다는 입장이다.
개인정보보호법에 따르면 이용자 개인정보를 제공받은 자는 개인정보 분실·도난·유출 사실을 안 때에는 지체 없이 이용자에게 알리고, 보호위원회 또는 대통령령으로 정하는 전문기관에 신고해야 한다. 또 정당한 사유 없이 그 사실을 안 때부터 24시간을 경과해 통지·신고해서는 안 된다.
금융정보 등 추가 개인정보가 유출됐는지 조사 중인 개인정보위는 위반 사항이 발견되면 과태료나 과징금을 물릴 예정이다. 과징금은 위반행위와 관련한 매출액의 3% 이하로 부과할 수 있다.
LG유플러스 측은 이에 대해 개인정보 유출 사건에 대한 조사를 마무리한 후 대책을 강구하겠다고 밝혔다. LG유플러스 관계자는 “정보 유출 원인 규모 등이 파악돼야 어떤 측면을 강화할지 등을 논의할 수 있다”며 “진행 중인 조사가 완료된 이후 대안을 마련하겠다”고 전했다.
이소연 기자 soyeon@kukinews.com