전 고객 유심 교체, 피해지원센터 운영
원인규명은 아직, 유출 정보 더 있다?
[한국뉴스투데이] 국내 3대 이동통신사 중 하나인 LG유플러스에서 개인정보 유출과 디도스 공격으로 인한 인터넷 접속 오류가 연달아 발생한 가운데 한달만에 보상책이 나왔다. LG유플러스는 황현식 대표이사가 직접 나서 사과를 하고 전 고객의 유심 교체와 피해 소상공인과 PC방을 대상으로 피해지원 센터를 운영한다는 방침이다. 정보 유출이 반복되는 상황에서 뒤늦게 보상안과 재발방지 대책이 나왔지만 원인규명은 늦어지고 있다.
정보유출 한달이 지나 나온 보상안
지난 16일 서울 용산구에 위치한 LG유플러스 용산사옥 대강당에서 개인정보 유출 및 인터넷 접속 오류 사고에 대한 기자간담회가 열렸다. 이 자리에는 황현식 LG유플러스 대표이사와 이상엽 CTO, 권준혁 부사장, 정수헌 부사장, 최택진 부사장, 박형일 부사장 등이 참석해 정보유출 사태를 사과하고 피해보상안과 재발방지 방안 등이 나왔다.
황현식 대표는 “정보 유출과 인터넷 서비스 오류로 불편을 겪은 고객분들게 이 자리를 빌어 머리 숙여 진심으로 사과드린다”면서 “뼈를 깎는 성찰로 고객에게 신뢰를 주는 보안과 품질에 강한 회사로 거듭나겠다”고 밝혔다. 이어 권준혁 부사장은 대용량 트래픽 공격에 대한 방어체계는 운용하고 있었으나 통신망 장비로의 공격 방어 체계는 다소 미흡했다며 보안 미비를 인정했다.
그러면서 LG유플러스는 개인정보 유출 피해 지원으로 개인정보 유출이 확인된 고객에게는 20일부터 유심을 무료로 교체해주고 개인정보 유출이 되지 않는 고객에게도 3월 중순부터 유심 교체를 약속했다. 전체 고객의 유심 교체에 이어 오는 27일부터는 스팸 전화 알림 앱 서비스도 지원한다.
또, 디도스 공격으로 인한 인터넷 접속 오류 피해 지원을 위해 소상공인과 PC방 운영 고객을 대상으로 오는 3월 17일까지 피해지원센터를 운영한다. 피해지원센터에서는 24시간에 걸쳐 피해 내용을 접수받는다. 지원안은 추후 마련된다. LG유플러스 인터넷과 IPTV를 이용하는 개인 고객의 지원안은 고객센터 신청 접수없이 추후 공지될 예정이다.
이번 사고 이전에도 반복된 정보 유출
정보 유출 사고 한 달만에 보상안이 나온 가운데 반복된 정보 유출에 대한 근본적인 대비책이 필요하다는 지적이 거세다. 지난달 10일 LG유플러스가 일부 고객님의 개인정보 유출 사실을 공지하면서 이번 사태가 시작됐다. 당초 LG유플러스는 개인별로 차이가 있으나 성명, 생년월일, 전화번호 등이 유출됐고 다만 납부 관련 금융정보는 유출되지 않았다고 밝혔다.
또, 처음에는 고객 18만명의 정보가 유출된 것으로 알려졌으나 조사 과정에서 개인정부 유출 고객 규모는 29만명으로 늘었다. 대규모 정보 유출 사고가 터진지 불과 며칠만인 지난달 29일에는 인터넷 접속 장애로 PC방 등 소상공인의 피해가 이어졌고 이달 4일에는 인터넷 접속 장애로 와이파이가 터지지 않거나 카드 결제가 안되는 문제가 생겼다.
이번 사고 이전인 지난 2016년에는 고객 80만명의 이름과 연락처, 주소 등이 유출되는 일이 있었다. 당시 정보 유출은 LG유플러스 인터넷 설치 기사들이 사용하는 토스시스템(Toss System·통합 그룹웨어 시스템)을 통해 고객정보가 유출됐다.
2021년 12월에는 LG유플러스의 고객 정보는 물론 직원 데이터 3만건이 유출돼 다크웹에서 판매되는 사태가 벌어졌다. 이에 LG유플러스는 개인정보보호위원회로부터 과태료 600만원을 부과받았다. 지난해에는 고객의 개인정보 처리를 위탁한 대리점의 관리감독을 소홀히 했다는 이유로 개인정보보호위원회로부터 과징금 1160만원과 1000만원의 과태료를 부과받은 바 있다.
보안 강화 약속...원인 규명은 아직
LG유플러스의 정보 보호가 경쟁 통신사 2곳에 비해 인색하다는 지적은 예전부터 있었다. 경쟁사인 SK텔레콤과 KT가 정보 관리 부분에 매출액 대비 0.5% 정도를 투자하는 반면 LG유플러스는 0.2% 수준에 그쳐 정보 보호에 소극적이었다는 것.
이에 LG유플러스는 이번 사태를 계기로 정보보안 투자를 현재 투자액의 3배 수준인 1000억원으로 늘린다는 방침이다. 또, 전사 정보보호·개인정보보호 책임자(CISO·CPO)를 최고경영자 직속 조직에 두고 외부 보안전문가의 의견도 적극 수렴해 보안 안정성을 높인다는 계획이다.
하지만 여전히 문제는 남아있다. 이번 정보유출 사태와 사이버 공격에 대한 원인이 정확히 밝혀지지 않아 재발 가능성이 있고 고객 정보를 빼돌린 해커가 자신이 보유한 LG유플러스의 고객 정보 데이터가 3000만건이라 주장하고 있어 추가 피해가 우려되는 상황이라는 점이다.
한편, 과기정통부와 KISA는 LG유플러스의 이번 고객정보 대량 유출을 중대한 침해사고로 판단하고 지난달 11일부터 현장조사를 진행한 바 있다. 조사 과정에서 추가로 디도스 공격을 받자 과기정통부는 민관합동조사단을 특별조사점검단으로 확대해 조사를 벌여 시정조치 이행을 요구하고 나아가 정보통신사업자의 침해사고 대응체계를 개편하는 등 법령 개정을 포함한 제도개선 마련에 나섰다.
