![황현식 LG유플러스 대표가 16일 용산 LG유플러스 본사에서 열린 기자간담회에서 고객 개인정보 유출 등에 대해 사과하고 있다. [연합뉴스]](https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202302/17/a6dd1e27-54dd-486a-a674-e69f9ec3b2d7.jpg)
황현식 LG유플러스 대표가 16일 용산 LG유플러스 본사에서 열린 기자간담회에서 고객 개인정보 유출 등에 대해 사과하고 있다. [연합뉴스]
개인정보 유출과 네트워크 장애를 연달아 일으킨 LG유플러스가 보안 투자에 소홀했던 점을 인정하고 1000억원 규모의 투자를 약속했다. 지난해 기준 292억원이었던 연간 정보보호 투자액을 3배 이상 늘리겠다는 계획이다.
황현식 LG유플러스 대표는 16일 서울 용산구 LG유플러스 사옥에서 열린 기자회견에서 “이번 사고는 보안 체계가 통신 산업의 근본이라는 점에 집중하지 못한 결과”라며 “정보 유출과 인터넷 서비스 오류로 불편을 겪은 고객분들께 진심으로 사과드린다”고 말했다. 또 “단기간 내 연간 정보보호 투자액을 현재의 3배 수준인 1000억원으로 확대할 예정”이라고 밝혔다. 그동안 정보통신기술(ICT) 조직에 있었던 정보보호최고책임자(CISO)와 개인정보보호책임자(CPO)를 앞으론 대표 직속에 두고 직접 보안을 챙기겠다고 했다.
앞서 LG유플러스는 지난달 29일과 이달 4일 총 5차례 네트워크 장애를 일으켰다. 통신망 장비를 대상으로 한 디도스(분산서비스거부공격)가 원인으로 지목됐다. 권준혁 네트워크부문장은 “아직도 간헐적 공격이 지속되고 있지만 서비스에는 영향이 없도록 대응 중”이라고 말했다. 디도스 공격과 별개로 지난달 1일에는 일부 고객 정보가 유출된 사실이 뒤늦게 확인됐다. 주소와 전화번호, 이메일 주소, 가입자고유식별번호(IMSI) 등이 포함돼 있어 실제 판매될 경우 스미싱 등에 악용될 우려가 나오는 상황이다. LG유플러스에 따르면 현재까지 파악된 유출 피해자는 서비스 해지 고객을 포함해 총 29만 명이다.
LG유플러스에 따르면 이번 디도스 공격은 네트워크를 연결하는 통신망 장비를 공격하는 방식이었다. 네트워크 장비에 대한 침입탐지시스템(IPS) 등이 부족했던 게 원인으로 지목된다. 권 네트워크부문장은 “통신망 장비로 공격에 대한 방어 체계 준비가 미흡했다”며 “지난달 29일 이후 관련 장비 등을 보강했다”고 말했다. 한국인터넷진흥원(KISA)에 따르면 KT의 정보보호 투자액은 1021억원, SK텔레콤은 627억으로 LG유플러스의 2~3배 이상이다.
LG유플러스는 사건 직후 황 대표를 중심으로 위기관리태스크포스(TF)를 꾸렸지만, 해킹 경로를 찾지 못하고 있다. 외부 해커의 침입인지, 내부 직원의 유출인지도 아직 결론 내지 못하고 있다. 현재 텔레그램에서 LG유플러스의 데이터를 판매하고 있는 주체가 누구인지도 모르는 상태다. LG유플러스는 유출 경로를 알아내기 위해 보안 협력업체를 통해 지난달 판매자에게 수백 달러를 건넸지만, 결과적으로 쓸모없는 정보만 받은 것으로 전해진다.
과기정통부도 LG유플러스 사태 대응을 위해 지난 5일 민간 보안 전문가가 포함된 특별조사점검단을 꾸렸다. 최근 침해사고의 종합적인 원인분석과 함께 LG유플러스의 사이버 침해 예방과 대응의 전반적인 체계와 관련 문제점을 집중 점검·분석하고 있다. 조사 결과를 토대로 3~4월 중 LG유플러스에 시정조치를 전달한다는 계획이다.
피해자들에 대한 보상은 정부 조사가 끝나는 대로 구체적인 방안을 내놓을 계획이다. 이를 위해 학계, 법조계, 비정부기구(NGO) 등으로 구성된 피해지원협의체를 구성하고 고객의 피해 상황을 파악하고 유형을 고려한 종합 피해지원안을 마련하기로 했다. 고객 피해를 최소화하기 위해 ‘피해신고센터’도 운영한다.
피해 보상 대상은 개인정보가 유출된 29만 명뿐 아니라 전체 고객으로 확대할 예정이다. 알뜰폰과 인터넷TV(IPTV) 가입자도 지원 대상에 포함될 것으로 보인다. 정수헌 컨슈머부문장은 “개인 정보 유출을 우려하는 고객이 희망하면 무료로 유심(USIM)을 교체해 주는 방안도 검토 중”이라고 말했다.
