정부, LGU+ 고객정보 유출 조사 중..."2018년 데이터 가능성 높아"

[디지털투데이 백연식 기자] LG유플러스가 18만건 이상의 개인정보를 유출 당한 가운데, 2018년 정보일 가능성이 높다고 정부에 보고한 것으로 파악됐다. 이들 정보 중에는 유심 복제를 위해 필수적인 정보가 포함돼 있지 않아 복제폰 피해 등이 발생할 가능성은 낮아 보인다.

20일 과기정통부 사이버침해대응과 관계자는 “LG유플러스가 유출된 18만건 이상의 개인정보에 대해 2018년 정보일 가능성이 높은 것 같다고 알렸다”며 “정부는 추가 조사를 통해 2018년 정보가 유출된 것이 맞는지, 정확히 유출된 시점은 언제인지, 유출 경로는 어딘지 등을 조사할 방침”이라고 말했다.

현재 과학기술정보통신부와 개인정보보호위원회, 한국인터넷진흥원(KISA)은 합동 조사반을 꾸려 조사를 진행 중이다. LG유플러스는 이번 사건에 대한 법률 자문 관련 법무법인 세종을 선임했다. 

LG유플러스 도매제공망을 사용하는 이용자(알뜰폰 고객)도 피해를 입은 것 아니냐는 우려도 나왔지만 사실이 아닌 것으로 나타났다. 2차 피해와 관련해 ‘심 스와핑’(SIM Swapping) 가능성도 적은 것으로 파악됐다.

이번 유출된 정보 중에는 유심 고유식별번호인 IMSI와 단말기 고유식별번호인 IMEI, 유심번호 등이 포함돼 있어 일각에선 유심 칩을 복사한 뒤 개인 금융자산을 갈취하는 심 스와핑에 대한 우려가 있었지만 유출된 정보는 고정된 IMSI가 아닌 임시값으로 주어지는 GUTI인 데다가 IMEI 역시 복호화돼 있어 이를 활용해 유심을 복사하기는 쉽지 않다는 것이 업계의 중론이다. 또한 유심 복제에 필수적인 네트워크 인증키(LTE key) 역시 유출되지 않은 것으로 확인됐다.

개인정보보호법 제34조에 따르면 개인정보처리자는 개인정보가 유출됐다는 것을 알게 됐을 때 지체없이 서면 등의 방법으로 해당 정보주체에 개인정보 유출에 관한 사실을 알려야 한다. LG유플러스는 KISA 등에 3차례에 걸쳐 즉각적인 신고를 했지만 피해 상황을 파악하는데 시간이 소요됐다.

KISA는 지난 2일 LG유플러스 고객 개인정보가 유출된 것 같다는 외부 제보를 받았다. 다크웹에 LG유플러스 고객 개인정보 판매글이 게시됐다는 내용이었다. 판매자는 지난 1일 판매글을 올린 것으로 알려졌는데 현재는 삭제된 상태다. KISA는 즉각 대응해 외부 제보를 토대로 LG유플러스 측에 침해사고와 개인정보 유출사고 가능성을 안내했다. 침해사고란 외부적 요인에 의한 사고를 말한다. 해킹 가능성이 함께 제기된 것이다. LG유플러스가 고객 개인정보 유출 사실을 최초 인지한 때가 이 때인 것으로 보인다. 

LG유플러스는 내부조사에 착수해 지난 3일 피해 정황이 포착됐다고 KISA 측에 전달했다. 다만 KISA에 따르면 이날 침해사고 관련 신고는 아니었다. 개인정보위는 “LG유플러스 측이 유출신고를 한 것은 3일이다. 이후 5일과 9일 세 차례에 걸쳐 신고했다”고 언급한 바 있다.

개인정보위에 따르면 LG유플러스는 “판매글에 LG유플러스 고객 개인정보가 포함된 것 같다”며 지난 5일 재차 신고했다. 이후 9일에 18만건 이상이 유출된 것으로 파악됐다. 이에 따라 이날 개인정보위도 정식 조사에 착수했다.

LG유플러스가 공식 홈페이지·개별 문자 등을 통해 개인정보 유출 사실을 알린 건 지난 10일이다. 침해사고와 개인정보 유출사고를 동시 집계·파악하다보니 최초 인지 시점 대비 고객 안내에 시간이 소요됐다는 것이 LG유플러스 측 설명이다. LG유플러스 관계자는 “불명확한 데이터를 확인하고 고객을 특정하는 데 시간이 걸렸다”고 전했다.

양청삼 개인정보위 조사조정국장은 “지금 18만건이 유출됐다고 알려져 있는데 그것보다 많은 유출이 있을 수도 있다”며 “그 내용에 대해서는 철저하게 유출 경위가 파악돼야 하고, 정확한  유출 항목, 유출 규모가 어떤지를 철저하게 확인하는 과정이 가장 기본이 될 것”이라고 말했다. 이어 “언제 LG유플러스가 인지를 했는지, 그리고 정보통신서비스 제공 사업자로서 그리고 유출 사건을 인지한 이후에 현행 기준으로 24시간 이내에 유출 신고와 통지를 했는지, 이런 부분들은 확인해 봐야 될 상황”이라고 덧붙였다. 

유출 신고는 개인정보보호법에 따라 기업이 KISA와 개인정보위에 신고를 하는 절차를 말한다. 유출 통지는 개별적으로 개인, 유출된, 유출된 항목의 정보 주체가 식별이 돼서 정보 주체한테 통지를 하는 것이다. 유출 통지는 일단 유출된 개인정보 항목의 정보 주체가 누구인지가 확정이 돼야 통지가 갈 수 있다. 

LG유플러스로부터 개인정보가 유출된 건 이번이 처음은 아니다. 

LG유플러스는 지난해 11월 개인정보위로부터 과태료 1200만원의 시정조치 명령을 받았다. 개인정보처리시스템 접근 제한 미흡과 동의 없는 고객 가족 연락처 1건을 제3자에게 제공했다는 사유다. 대리점 시스템 개인정보 안전조치 모의 테스트 수행 과정에서 가상 파일이 아닌 실제 개인정보 파일을 사용한 것으로 조사됐다. 

LG유플러스 관계자는 “고객께 걱정을 끼쳐드려 죄송하다. 고객 개인정보가 유출된 정황을 확인하고 이를 관계기관에 신고했다. 고객께도 안내하고 있다”며 “홈페이지를 통한 조회 시스템 또한 운영 중이다. 향후 신속한 조사가 이뤄질 수 있도록 관계기관 조사에 적극 협조하겠다”고 말했다.