개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 6월 28일 제11회 전체회의를 열고, 개인정보보호 법규를 위반한 주식회사 엘지헬로비전에 대해 11억 3,179만 원의 과징금과 1,740만 원의 과태료를 부과하기로 의결하였다. 

개인정보위는 개인정보 유출신고 접수에 따라 ㈜엘지헬로비전*에 대해 조사한 결과, 홈페이지를 운영하면서 안전조치의무를 소홀히 하는 등의 법 위반 사실을 확인하였다. 

먼저 이동통신(알뜰폰) 제공과 관련된 홈페이지에서 1:1 상담문의 게시판을 운영하면서 개인정보처리시스템에 대한 침입차단·탐지시스템 운영을 소홀히 하였고, 웹 취약점에 대해 조치를 하지 않아 해커의 공격으로 46,134명의 개인정보가 유출되었다. 

해당 취약점은 XSS(Cross-site Scripting) 취약점으로, 홈페이지에 악성 스크립트를 삽입할 수 있는 취약점이다. 공격자는 해당 스크립트가 실행되도록 하여 사용자의 쿠키나 세션을 탈취할 수 있다. 

또한, 초고속인터넷, 케이블TV 등의 서비스 제공과 관련된 홈페이지를 운영하면서 소프트웨어 개발 회사가 공개한 세션 보안 취약점에 대한 최신화 조치(업데이트)를 하지 않아 세션 오류로 인해 이용자의 개인정보가 유출되었으며, 개인정보 유출신고와 유출통지를 지연한 사실도 확인되었다.

남석 개인정보위 조사조정국장은 “디지털 전환이 확산됨에 따라 보안 취약점이 계속적으로 발생하고 있으며 이에 대한 사이버 공격 또한 증가하고 있다”면서 “개인정보처리자는 사고 예방을 위해 상시적인 웹 취약점 점검 및 소프트웨어 최신화 등의 보호조치를 적극적으로 취할 필요가 있다”고 말했다.  

★대한민국 시큐리티 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★