rxdancer751 조직, LG U+ 고객DB 1억4000만원 정도 판매 시도, 개인정보위원회 총 29만명 유출 확인, 추가 유출 정보도 확인 중
LG U+를 해킹해 고객 정보 3000만 건을 탈취했다고 주장하는 해커 조직 ‘rxdancer751’이 2월 12일 오후 10시경 텔레그램 채널에 LG U+ 고객 정보를 11만 달러에 판매하겠다는 내용을 올린 것으로 확인됐다. 한화로 약 1억 4천만 원에 달하는 금액이다.
해킹 조직은 12일 텔레그램 채널에 “비트코인 가격 변동으로 인해 LG U+ 해킹 데이터 가격을 11만 달러(약 1억 3천975만원)로 정했다. LG U+ 인트라넷 정보에 대해 더 알고 싶으시면 @rxdancer751로 바로 연락주면 된다”고 게시했다.
지난 1월 22일에는 LG U+에서 탈취한 고객 데이터라며 50개의 파일로 나누어 59만 건씩 총 3천 만건 데이터 샘플이라며 캡터 이미지를 공개했다.
한편, LG U+는 1월 2일 해킹 사실을 인지하고 1월 3일 관계 당국에 신고했으며, 1월 10일 홈페이지 공지를 통해 18만 건의 고객 정보가 유출됐다고 처음 알렸다.
데이터 유출과 관련해 회사 측은 2월 3일 “지난 1월 불법 판매자로부터 약 29만 명의 개인정보가 포함된 데이터를 입수했으며, 이 중 약 18만 명은 고객으로 확인돼 홈페이지에 공지했고 나머지 약 11만 명의 이용자 정보는 전자상거래보호법에 따라 별도 보관 중인 해지 고객 데이터에서 확인했다”며 수정된 내용을 발표했다.
이에 대해 개인정보보호위원회는 LG +에 대한 사실조사 과정에서 당초 신고한 유출자 수(21만 명)에서 8만 명을 추가로 발견해 총 유출자 수가 29만 명으로 집계됐다고 밝혔다.
당초 LG U+는 약 21만 명의 유효 고객 정보가 유출됐다고 신고했으나, 개인정보보호위원회는 1월 31일 조사 과정에서 해지된 고객 데이터베이스(DB)에서 8만 건의 개인정보를 추가로 확인했다.
개인정보보호위원회는 정보주체의 권리 보장을 위해 해지 고객에 대한 고지가 이뤄지도록 조치했으며, 고객의 이름, 생년월일, 전화번호 외에 다른 개인정보 유출이 있었는지 면밀히 조사하고 있다고 밝혔다.
개인정보보호위원회는 조사관을 추가 투입하는 등 정확한 유출 규모와 유출 경위 등을 조사하고 있으며, 개인정보보호법 위반 사항이 발견될 경우 과태료 및 과징금 등의 행정조치를 취할 계획이다. 개인정보 보호법 위반 사항 발견 시 매출액의 최대 3%까지 과징금이 부과할 수 있다.
또한 과학기술정보통신부는 지난 2월 초 기간통신사업자인 LG U+ 경영진에게 개인정보 유출, 디도스 공격 등 기본적인 침해 대응체계가 미흡한 점에 대해 강력히 경고하고, LG U+가 이행 계획을 이행하도록 ‘특별조사점검단’을 통해 실효성 있는 대책을 마련하겠다고 밝힌 바 있다.