이달 초 LG유플러스 대규모 개인정보 유출을 계기로 통신업계 보안 취약성이 여실히 드러났다. 당국이 유출 경로를 조사 중인데, 피해 규모가 상당해 지난해 9월 보다 혹독한 제재 가능성도 엿보인다. 통신사 개인정보 유출은 하루 이틀일이 아니다. 해킹을 당하거나 직원 과실, 대리점 등 경로도 다양하다. 업계는 그럴수록 뼈를 깎는 노력으로 재발 방지를 약속하지만 실상은 다르다. 최근엔 SKT 메타버스 플랫폼 ‘이프랜드’ 개인정보 1000여명 분이 유출됐다. 이벤트 대행업체 관리 부실이 원인이었다. 2015년엔 이 회사 직원이 가입자 서명을 도용해 개인정보를 탈취한 사건이 있었다. 내부기강 해이가 도를 넘긴 사건으로 SKT는 당시 검찰에 고발당했다.
정보 보안은 데이터 시대에 지속가능한 기업 투자를 결정짓는 중요 지표다. LG유플러스를 계기로 과거 행적이 줄줄이 재조명 받는 분위기라 업계도 노심초사하고 있다. 27일 한 업계 관계자는 “(개인정보보호는) 늘 하고 있어서 특별한 건 없다”라면서도 “사건이 터질 때마다 더 주의하는 건 아니지만 우리도 긴장하고 있다”고 귀띔했다.
잇따른 정보 유출로 무너진 신뢰를 회복하기 위해 이통사들은 개인정보 보호를 우선 경영 가치로 삼고 실천하고 있다.
각사에 따르면 SKT는 고객 동의한 범위에서만 개인정보를 수집하고 있다. 이용자는 회사 개인정보처리 방침을 언제든 열람할 수 있다. 정부기관 자료요청 대응에도 이용자 권리 침해요소가 없는 지 점검하고 내부 실사를 진행해 인권피해를 최소화하고 있다. SKT는 협력사 보안 실태도 연 1회 이상 정밀 진단하고 있다. 전국 3800개 유통망 대리점 개인정보보호 진단 전수 조사를 시행하고 원격진단으로 연간 PC 약 2만 대를 검사하고 있다. 개인정보처리 PC 1만여 대는 매주 원격 진단하고 있다. SK쉴더스 등 외부기관이 참여해 객관성과 독립성을 확보하고 있다. SKT는 2021년 기준 샘플링 진단으로 도출된 리스크 66건을 개선했다.
SKT는 아동·청소년 개인정보보호에 자사 ICT기술을 활용하고 있다. 어린이 전용 서비스 ‘젬’이 예다. 요금제를 설계할 때도 아동과 청소년 보호를 염두에 둔다. SKT 아동·청소년 요금제는 대부분 기본 데이터를 모두 소진하면 데이터 사용을 차단하거나 제한된 속도로만 이용할 수 있게끔 설정돼있다. 스마트폰 중독과 유해 콘텐츠 노출을 막는 부가서비스도 무료로 제공하고 있다. ‘데이터 주고받기’ 기능도 만 19세 이하 아동·청소년은 선물 받기만 되도록 기본 설정해뒀다.
“KT는 고객정보보호를 최우선 경영 가치로 여기며…”
지난해 발간된 KT 지속가능경영보고서 소개글이다. KT에선 굵직한 사고가 많이 터졌다. 발발한지 10년이 지났지만 지금도 소송 중인 2012년 영업시스템 해킹사건(870만 명)과 2014년 홈페이지 해킹(1200만 명), 2016년엔 임직원 과실로 고객 정보 3000건을 유출한 사건이 대표적이다. 이중 2012년 사고를 계기로 ‘개인정보보호법 고시에 개인정보처리시스템 접속기록 반기별 1회 이상 점검 의무규정’이 신설됐다. 개인정보처리시스템 정의도 확장됐다. 기존 ‘개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템’에서 ‘데이터정보시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템’으로 바뀌었다.
KT는 고객 정보보호를 위해 △정보보호알림이 △후후 스팸알림 △스팸차단 △가족안심 서비스를 제공하고 있다. 모든 개인정보는 사전 동의로 수집하며, 수집된 정보는 ‘옵트 인(당사자가 개인데이터 수집을 허용하기 전까지 당사자 데이터 수집을 금지하는 제도)’ 방식으로 처리된다. 그래서 서비스 이외 목적으로 쓰이지 않는다. 직무별 사내 정보보안 교육과 정기 현장교육도 병행하고 있다. KT는 정보 유출 방지활동과 체계도 운영 중이다. 신규·기존 서비스 취약점을 점검하고 모의 해킹을 실시하고 있다. 날로 교묘해지는 보이스 피싱 수법에 대응하기 위해 인공지능과 빅 데이터를 활용하고 있다.
LG유플러스에선 모든 정보보호 활동 전반에 경영진이 참여하고 있다. 정보기술 관련 전문역량을 보유한 정보보호 담당자를 최고 책임자(CISO)로 선임했다. 내부에선 임직원과 그룹사, 협력사 정보보호 교육과 점검, 개선 지원 활동을 하고 있다. 주요 개인정보처리 수탁사인 대리점을 대상으로 보안점검시스템을 도입해 월 1회 모바일로 보안을 점검하고 있다. 영업조직에서는 분기별 1회 현장 점검을, 영업보안조직에서는 상시 현장점검을 진행하고 있다. 현장점검 체계는 4단계로 이뤄진다. 모든 대리점 영업 현장에서 일일보안점검표를 작성한다. 전사 정보보호 조직은 연 1회, 보안점검 전문 업체를 활용해 수시로 현장 점검하고 있다.
LG유플러스는 보안 매뉴얼도 수립했다. 정보보호유출·개인정보유출·서비스침해·대고객서비스침해·내부서비스침해·NW서비스 침해 등 6개 분과로 나누고 10개 부문 조직별로 역할을 분담해 침해사고에 대응하고 있다. 아울러 개인정보 흐름분석 시스템에 보안솔루션을 연계해 365일 24시간 모니터링을 하고 있다. 보안사고가 접수되면 전담 인력(보안사고 긴급대응반)이 즉각 대응한다. 이밖에 해커공격을 비롯한 보안 취약점을 분석하고 모의해킹·훈련도 지속하고 있다.
개인정보 보호관리 체계 인증 풀리나
한편 당국이 LG유플러스 유출사고 경위를 조사하고 있다. 개인정보보호위원회는 지난 12일 LG유플러스 서울 상암 사옥을 현장 조사했다. 사고 심각성에 따라 LG유플러스에 발급된 개인정보보호 관리체계(ISMS-P) 인증이 해지될 수 있다. 개인정보보호법에 따르면 ‘개인정보 보호 관련 법령을 위반하고 그 위반사유가 중대한 경우’ 인증이 취소될 수 있다. SKT와 KT도 동일한 인증을 받았다.
송금종 기자 song@kukinews.com