16일 오후 서울 용산 LG 유플러스 본사에서 열린 고객 개인정보 유출과 디도스(DDoS) 공격으로 인한 인터넷 서비스 장애에 대한 기자간담회에서 이 회사 관계자들이 취재진의 질문을 받고 있다. 연합뉴스
개인정보 유출과 네트워크 장애를 연달아 일으킨 LG유플러스가 보안 투자에 소홀했던 점을 인정하고 1000억원 규모의 투자를 약속했다. 지난해 기준 292억원이었던 연간 정보보호 투자액을 3배 이상 늘리겠다는 계획이다. 한편에서는 LG유플러스의 데이터를 가지고 있다고 주장하는 이들이 계속해서 판매를 시도하면서 추가 피해에 대한 우려가 커지고 있다.
무슨 일이야
◦고개 숙인 대표: 황현식 LG유플러스 대표는 16일 서울 용산구 LG유플러스 사옥에서 열린 기자회견에서 “이번 사고는 보안 체계가 통신 산업의 근본이라는 점에 집중하지 못한 결과”라며 “정보 유출과 인터넷 서비스 오류로 불편을 겪은 고객분들께 진심으로 사과드린다”고 말했다. 또 “단기간 내 연간 정보보호 투자액을 현재의 3배 수준인 1000억 원으로 확대할 예정”이라고 밝혔다. 그동안 정보통신기술(ICT) 조직에 있었던 정보보호최고책임자(CISO)와 개인정보보호책임자(CPO)를 앞으로 대표 직속에 두고 직접 보안을 챙기겠다고도 덧붙였다.
황현식 LG유플러스 대표가 16일 서울 용산구 LG유플러스 본사에서 열린 기자간담회에서 최근 발생한 정보 유출과 인터넷 서비스 오류에 대해 고개 숙여 사과하고 있다. 뉴스1
◦디도스에 뚫리고 개인정보 유출까지: LG유플러스는 지난달 29일과 이달 4일 총 5차례 네트워크 장애를 일으켰다. 통신망 장비를 대상으로 한 디도스(분산서비스거부공격)가 원인으로 지목됐다. 권준혁 네트워크부문장은 “아직도 간헐적 공격이 지속되고 있지만 서비스에는 영향이 없도록 대응 중”이라고 말했다. 디도스 공격과 별개로 지난달 1일에는 일부 고객의 정보가 유출된 사실이 뒤늦게 확인됐다. 주소와 전화번호, 이메일 주소, 가입자고유식별번호(IMSI) 등이 포함돼 있어 실제 판매될 경우 스미싱 등에 악용될 우려도 나오는 상황. LG유플러스에 따르면 현재까지 파악된 유출 피해자는 서비스 해지 고객을 포함해 총 29만 명이다.
왜 중요해
텔레그램에서 LG유플러스 데이터를 갖고있다고 주장하는 이들이 이를 판매하겠다는 글을 지속적으로 올리고 있다. 사진 텔레그램 캡쳐
◦잊혀진 기본: 인터넷서비스사업자(ISP)의 핵심 네트워크가 공격 받았다는 점에서 정부와 소비자들의 비난이 계속되고 있다. LG유플러스에 따르면 기존 디도스는 서버에 대용량 트래픽을 일으키는 방식인 데 반해 이번 공격은 네트워크를 연결하는 통신망 장비를 공격하는 방식이었다. 네트워크 장비에 대한 침입탐지시스템(IPS) 등이 부족했던 게 원인으로 지목된다. 권 네트워크부문장은 “통신망 장비로 공격에 대한 방어 체계 준비가 미흡했다”며 “지난달 29일 이후 관련 장비 등을 보강했다”고 말했다. 한국인터넷진흥원(KISA)에 따르면 KT의 정보보호투자액은 1021억원, SK텔레콤은 627억으로 LG유플러스의 2~3배 이상이다.
◦달라진 공격 방식: 초기 서비스 거부(DoS) 공격이 분산형 공격(DDos)으로 진화했듯이, BGP(경계경로프로토콜)를 노리는 공격이 늘어날 수 있다는 우려도 나온다. LG유플러스 측은 지난 9일 국회에 출석해 BGP에 트래픽을 집중하는 방식으로 디도스 공격이 이뤄졌다고 밝혔다. 지난해 2월에는 카카오와 탈중앙화금융(디파이) 서비스 클레이스왑이 BGP 하이재킹 공격을 당했다. 김현걸 한국사이버보안협회 회장은 “공격자가 원하는 경로로 네트워크의 흐름을 변경해 네트워크 마비, 데이터 가로채기 등의 행위가 가능해진다”고 말했다.
현재 상황은 어때
◦해킹인가 유출인가: LG유플러스는 사건 직후 황 대표를 중심으로 위기관리태스크포스(TF)를 꾸렸지만 해킹 경로를 찾지 못하고 있다. 외부 해커의 침입인지, 내부 직원의 유출인지도 결론이 나지 않은 상황. 텔레그램에서 LG유플러스의 데이터를 판매하고 있는 주체가 누구인지도 파악되지 않았다. LG유플러스는 유출 경로를 알아내기 위해 보안 협력 업체를 통해 지난달 판매자에게 수백 달러를 건넸지만 결과적으로는 쓸모없는 정보만 받았다는 입장이다.
◦정부도 조사 중: 과기정통부는 LG유플러스 사태 대응을 위해 지난 5일 민간 보안 전문가가 포함된 특별조사점검단을 꾸렸다. 최근 침해사고의 종합적인 원인분석과 함께 LG유플러스의 사이버 침해 예방과 대응의 전반적인 체계와 관련 문제점을 집중 점검·분석하고 있다. 조사 결과를 토대로 3~4월 중 LG유플러스에 시정조치를 전달한다는 계획이다.
보상은 어떻게
피해자들에 대한 보상은 정부 조사가 끝나는 대로 구체적인 방안을 내놓을 계획이다. 이를 위해 학계, 법조계, 비정부기구(NGO) 등으로 구성된 피해지원협의체를 구성하고 고객의 피해 상황을 파악하고 유형을 고려한 종합 피해지원안을 마련하기로 했다. 고객 피해를 최소화하기 위해 ‘피해신고센터’도 운영한다.
피해 보상 대상은 개인정보가 유출된 29만 명뿐 아니라 전체 고객으로 확대할 예정이다. 알뜰폰과 인터넷TV(IPTV) 가입자도 지원 대상에 포함될 것으로 보인다. 정수헌 컨슈머부문장은 “개인 정보 유출을 우려하는 고객이 희망하면 무료로 유심(USIM)을 교체해 주는 방안도 검토 중”이라고 말했다.
