매일 경제

원인은 통신망 방어 체계 취약…피해지원협의체 구성, 1000억 투자 계획

[톱데일리] 최근 수 차례 해킹 공격으로 대규모 개인 정보 유출 사태가 일어난 LG유플러스가 고개를 숙였다. 그간 미흡했던 고객 정보 보안 정책을 강화하고 개선 방안을 마련해 사고 재발을 방지하겠다는 데 주력하겠다는 의사를 밝혔다.

16일 서울 LG유플러스 용산사옥에서 황현식 대표는 "정보 유출과 인터넷 서비스 오류로 불편을 겪은 고객분들께 진심으로 사과드린다"며 "이번 사고는 중대한 사안으로 모든 사업의 출발점은 고객이라는 점을 되새겨 고객 관점에서 기본부터 다시 점검하겠다"고 사과했다.

이와 함께 LG유플러스는 개인정보 보호와 디도스(DDoS) 등 사이버 공격에 대응하고 보안과 품질 등 기본을 강화하는 '사이버 안전혁신안'을 발표했다. 고객들의 정보보호 투자를 늘리고 관련 활동에 대해 고객들과 지속적으로 교류함으로써 신뢰를 회복하겠다는 취지다.

◆ 사이버 안전혁신안 공개…신뢰 회복 주력

사이버 안전혁신안은 구체적으로 ▲정보보호 조직·인력·투자 확대 ▲외부 보안전문가와 취약점 사전점검·모의 해킹 ▲선진화된 보안기술 적용 및 미래보안기술 연구·투자 ▲사이버 보안 전문인력 육성 ▲사이버 보안 혁신 활동 보고서 발간 등으로 구성된다.

우선 LG유플러스는 전사정보보호(CISO)·개인정보보호책임자(CPO)를 최고경영자(CEO) 직속 조직으로 강화하고, 각 영역별 보안 전문가를 영입해 역량을 강화할 계획이다. 또 LG유플러스는 보안과 품질에 대한 투자를 강화하기 위해 연간 정보보호 투자액을 현재의 3배 수준인 1000억원으로 확대할 예정이다.

LG유플러스는 외부 보안전문가의 의견도 수렴해 보안 안정성을 제고한다는 방침이다. 보안컨설팅기업과 전문기관, 학계에 종사하는 외부 전문가들로 구성된 정보보호위원회를 운영하고 보안기술과 관리체계를 점검한다. 이와 함께 화이트해킹 대회, 침투방어훈련을 수행하며 보안 취약점 점검에도 나선다.

미래 보안기술에 대한 연구와 투자에도 나선다. 인공지능(AI)을 활용한 보안위협 분석·대응체계를 인프라에 적용하고, 공격자가 내부에 있다는 전제로 보안수준 강화방안을 마련하는 '제로 트러스트 아키텍처' 기술로 보안수준을 향상시킬 계획이다. 양자내성암호(PQC) 기술개발 등 기업에 대한 투자 활동도 확대한다.

LG유플러스는 매년 '사이버 안전혁신 보고서'를 발간해 사이버 보안 활동을 고객들과 공유할 계획이다. 사이버 위협에 대응하는 주요 활동과 신기술, 조직 인력 강화, 투자 현황에 대해 투명하고 상세하게 공개해 보안에 대한 고객 불안을 해소하는 데 주력하겠다는 방침이다.

이와 함께 LG유플러스는 학계, 법조계, NGO 등과 함께 피해지원협의체를 구성해 고객별 유형을 고려한 종합 피해지원안을 마련할 예정이다. 우선 피해지원안의 일환으로 '피해신고센터'를 운영해 고객의 피해를 최소화할 수 있도록 지원한다. 또한 사고의 원인 파악과 개선사항 이행 등을 분야별 전담반을 통해 실천해 나갈 계획이다.

황현식 대표는 이날 "위기 상황을 겪으면서 진심 어린 고객 사과가 부족했다는 것을 느꼈고 고객 신뢰로 이어진다는 것을 잘 알고 있기 때문에 이번 일을 결코 잊지 않겠다"며 "뼈를 깎는 성찰로 고객에게 더 깊은 신뢰를 주는 보안과 품질에 가장 강한 회사로 거듭나겠다"고 말했다.



◆ 뒤늦은 사태 수습, '찐팬' 마음 돌릴까

LG유플러스가 고객 정보 유출에 대한 이례적인 사과 발표에 나섰지만 늑장 대응이라는 지적이 제기된다. 한 주에 걸쳐 총 5차례 디도스 공격이 발생하며 고객 정보 유출이 반복됐지만 적절한 사태 수습이 이뤄지지도 못한 채, 고객들에게 제대로 된 정보를 전달하지도 못했다는 비판이다.

당초 LG유플러스는 18만명의 개인 정보가 유출됐다고 설명했다가 지난 3일 피해 규모를 29만명으로 정정했다. 한 사람당 중복 유출 등 피해 건수는 59만건으로 파악된다. 현재도 유출 경로는 조사 과정에 있으며, 일부 피해 규모가 개인정보보호위원회 조사 과정에서 나온 점을 비춰볼 때 유출 피해자는 늘어날 가능성도 있다.

고객 정보 유출의 원인은 LG유플러스 통신망 방어 체계의 미흡함 때문으로 밝혀졌다. 권준혁 LG유플러스 네트워크부문장은 "통신망 장비로 공격한 사례"라며 "대용량 트래픽 공격에 대한 방어 체계는 운영되고 있었으나 통신망 장비로의 공격 방어 체계는 다소 미흡했고 현재는 이를 보강했다"고 말했다.

LG유플러스는 개인 정보 유출 사건을 한국인터넷진흥원(KISA) 등에 신고한 다음 날인 4일 협력 보안업체를 통해 해커와 접촉해 소액을 지급하기도 했다. 이후 유출 경위 파악을 위해 '액세스 코드'에 접근했으나 유의미한 정보를 확인하진 못했다는 설명이다.

앞서 LG유플러스는 개인정보 유출 사건이 발생한 이후에도 일주일이 지난 시점에서야 고객에게 공지하는 등 안일한 대응으로 일관하기도 했다는 비판을 받기도 했다. 과기정통부가 지난해 12월 공개한 정보보호에 대한 투자 규모도 지난해 292억원에 그치며 KT(1021억원), SK텔레콤(627억원)과 비교해 크게 떨어지는 모습을 보였다.

이 때문에 국회에선 LG유플러스의 대응에 대한 거센 질타가 쏟아지고 있다. 최근 국회 과방위의 "개인정보 유출에 따른 보상 규정 약관이 있느냐"는 질의에 박형일 LG유플러스 부사장은 "저희가 따로 그 부분이 없어서 검토해보겠다"고 원론적인 답변을 내놓는 등 태도가 문제 시 됐다.

이날 LG유플러스는 사과가 늦어진 점에 대해선 사태 파악이 우선이었다는 해명을 내놨다. 황 대표는 "사안에 대한 파악이 되지 못한 점 때문인데 제 불찰이 컸다"며 "디도스 공격이 있던 첫 주에 총력을 기울이다 보니까 외부에 관련된 입장문이나 사과를 내는 것이 늦어졌다"고 말했다.

한편, 현재 과학기술정보통신부는 LG유플러스에 대해 공식 경고하고 한국인터넷진흥원과 함께 특별 점검 조사를 벌이고 있다. 이를 토대로 실효성 있는 조치방안을 마련해 3~4월 중 시정 조치를 요구할 계획이다.





톱데일리
이진휘 기자 hwi@topdaily.co.kr