개인정보위는 LG유플러스 고객인증시스템의 서비스 운영 인프라와 보안 환경이 해커 등의 불법 침입에 매우 취약한 상태였다고 밝혔습니다. 또 불법 침입 등 사고 방지에 필요한 방화벽 등 기본적인 보안 장비가 설치되지 않았거나 보안 정책이 제대로 적용되지 않은 점을 지적했습니다.
또 고객인증시스템에서 관리하는 개인정보를 포함한 데이터 일부가 방치됐고, 개인정보취급자의 접근 권한과 접속기록을 제대로 관리하지 않아 비정상 행위에 대한 점검이나 확인이 안 되는 등 관리 통제도 부실한 상황이었다고 개인정보위는 설명했습니다.
개인정보위는 많은 국민의 개인정보를 처리하는 통신사업자인 엘지유플러스가 이처럼 개인정보 관리에 부실하고, 타사와 비교했을 때 보안에 대한 투자나 노력이 부족했던 점이 이번 유출 사고로 이어졌다고 판단했습니다. 이에 따라 과징금과 과태료를 비롯해 개인정보보호책임자(CPO)의 역할 강화, 개인정보 보호 조직 전문성 제고, 개인정보 내부관리계획 재정립 등 시스템 점검과 개선을 시정 명령했습니다. 아울러 지난 1월 유출 사고 이후 LG유플러스가 약속한 각종 대책을 차질없이 이행하라고도 했습니다.