‘정보유출·디도스’ 고개 숙인 LG유플러스...쇄신 이뤄질까

기사승인 2023-02-16 16:36:18

황현식 대표 등 LG유플러스 임원진들이 개인정보유출과 디도스 공격에 대해 공식 사과했다. 사진=임형택 기자

LG유플러스가 개인정보유출과 디도스(DDoS) 공격에 대해 고개를 숙였다. 정보보호 및 보안 등에 1000억을 투자해 역량을 강화하겠다는 의지도 드러냈다.

16일 LG유플러스는 서울 용산 사옥에서 개인정보유출과 디도스 공격에 대한 사과문을 발표했다. 황현식 LG유플러스 대표는 “정보 유출로 불안해하시는 고객과 인터넷 서비스 오류로 곤란을 겪으신 소상공인 여러분, 깊은 사랑과 믿음을 보내주신 국민여러분께 머리 숙여 진심으로 사과드린다”며 “이번 사고는 중대한 사안이다. 저희 모든 사업의 출발점은 고객이라는 점을 되새겨 기본부터 점검하겠다. 신뢰할 수 있는 기업이 되겠다”고 밝혔다.

LG유플러스에서는 최근 29만건의 고객 정보 유출 사실이 확인됐다. 유출 항목은 전화번호, 성명, 주소, 생년월일, 이메일, 암호화된 패스워드 및 주민등록번호, 과거 단말 모델, 유심 번호, 데이터 생성 기간 등이다. 결제 관련 금융정보는 포함되지 않았다. LG유플러스는 유심번호 유출과 관련해 피해 고객에 한정하지 않고 모든 고객을 대상으로 무상 교체를 계획 중이다.

이날 사측의 설명에 따르면 지난달 1일 2000만건의 개인정보를 6 비트코인에 판매한다는 글이 불법 거래 정보 사이트에 게시됐다. 보안 전문 협력업체와 판매자에게 접촉한 과정에서 59만건의 데이터를 입수했다. 중복데이터를 제거해 29만명으로 파악, 관계 기관이 이를 신고했다. 고객 데이터와 유출 정보를 비교, 고객 18만명에게 유출 사실을 초기에 공지했다. 이후 기존 고객 데이터에서 조회되지 않았던 해지고객 11만명에게 2차로 유출 사실을 알렸다.

유출 경로는 아직 밝혀지지 않았다. 유출된 데이터는 지난 2018년 6월 이전 데이터로 추정된다. 이상엽 LG유플러스 CTO는 “정부 기관과 함께 다양한 방식으로 유출 경로를 파악 중이다. 가능한 시나리오를 모두 열어놓고 조사하고 있다”며 “결과가 나오면 정부 기관과 협의해 공유하겠다”고 설명했다.

텔레그램에 LG유플러스 데이터 판매 채널이 운영되고 있는 것에 대해서는 “정부와 같이 지속해서 모니터링 중”이라며 “저희는 이 사안을 심각하게 느끼고 있다. 모든 가능성을 열어놓고 대응 방안에 대해 검토할 계획”이라고 강조했다. 이외 사이트 등에 게재된 불법 판매 글은 모두 삭제됐다.

황현식 대표 등 LG유플러스 임원진들이 16일 열린 기자간담회에서 개인정보유출과 디도스 공격에 대해 설명했다. 사진=임형택 기자

디도스 공격으로 발생한 서비스 장애에 대한 설명도 있었다. 서비스 장애는 지난달 29일과 지난 4일 발생했다. 각각 전국 단위로 세 차례와 일부 지역 2차례 등 총 5번의 공격이 있었다. 카드결제기와 계산기, 주문기기를 쓰는 자영업자들이 피해를 봤다. 컴퓨터를 영업용으로 사용하는 PC방의 피해도 컸다. 현재까지도 간헐적 공격이 이뤄지고 있지만 서비스에 영향은 없다.

이번 디도스 공격은 기존과 달랐다. 기존 디도스 공격은 대용량 트래픽을 활용해 가입자를 공격하는 방식이었다. 그러나 이번 공격은 장비 간 연결 신호를 활용해 통신망 장비를 공격했다. 권준혁 LG유플러스 NW부문 부사장은 “대용량 트래픽 공격에 대한 방어체계는 있었으나 통신망 장비로의 공격 방어체계는 미흡했다”며 “지난 5일 전체 장비 보강을 완료했다. 앞으로도 잠재된 리스크를 추가 발굴하겠다. 다시 한번 죄송하다는 말씀 올린다”고 사과했다.

고객 보상안은 어떻게 마련될까. LG유플러스는 학계·법조계·시민단체 등으로 피해 지원 협의체를 구성해 각 고객별 피해 유형과 다양한 요소를 반영해 실질적으로 체감할 수 있는 지원책을 마련한다는 계획이다. 별도 사이트와 전용번호 개설 등 피해지원센터도 생긴다. 사고 원인 및 개선사항 이행, 피해 지원을 위한 전담반도 구성된다. LG유플러스 측은 “지출 비용에 관계 없이 어떻게 하면 고객 피해를 보상할 수 있는지에 전념하겠다”며 “피해지원협의체를 통해 적극적으로 고객의 상황을 파악하고 이에 따른 지원 방안을 마련해 발표하겠다”고 설명했다.

황현식 LG유플러스 대표가 16일 정보보안을 위한 안전혁신안을 발표했다. 사진=임형택 기자

LG유플러스는 이날 재발 방지를 위한 ‘사이버 안전혁신안’을 발표했다. △정보보호 조직·인력·투자 확대 △외부 보안전문가와 취약점 사전점검·모의 해킹 △선진화된 보안기술 적용 및 미래보안기술 연구·투자 △사이버 보안 전문인력 육성 △사이버 보안 혁신 활동 보고서 발간 등이다.

구체적으로 살펴보면 전사정보보호·개인정보보호책임자를 대표 직속 조직으로 강화한다. 영역별 보안 전문가를 영입해 역량을 강화하고 정보보호 투자액을 현재의 3배 수준인 1000억원으로 올린다. 외부 전문가로 구성된 정보보호위원회를 운영한다. 세계 최고 수준의 화이트해킹 대회, 침투방어훈련을 공개적으로 수행한다. 인공지능(AI)을 활용한 보안위협 분석·대응 체계를 적용하고, 공격자가 내부에 있다는 전제로 보안 수준 강화 방안도 마련한다.

황 대표는 “이와 같은 내용은 제가 직접 챙기겠다. 언론과 홈페이지에 투명하게 공개하겠다”며 “LG유플러스는 이번 일을 결코 잊지 않겠다. 뼈를 깎는 성찰로 고객에게 더 깊은 신뢰를 주는 보안 품질에 있어 가장 강한 회사로 거듭나겠다”고 다시 고개를 숙였다.

이소연 기자 soyeon@kukinews.com