LGU+, 고객정보 유출·디도스 피해 확산 속 간담회...경로·규모 나올까

[디지털투데이 백연식 기자] LG유플러스가 최소 29만건의 개인정보 유출에 이어 분산 서비스 거부 공격(이하 디도스)을 받았지만 아직 유출 경로와 규모를 정확히 파악하지 못하면서 파문이 계속되고 있다. 

이런 가운데 LG유플러스는 16일 기자간담회를 열고 개인정보 유출 및 디도스 공격에 대한 사과와 함께 2차 피해 방지 방안 등을 설명할 예정이다. 파문을 어느 정도 잠재울 수 있을지 주목된다.

다만 해커 조직이 최근까지 데이터 판매를 계속 시도 중이나 이날 간담회에서도 향후 대책이나 보상 방안에 대한 언급은 없을 것으로 보인다. 아직 정부 조사가 끝나지 않았기 때문이다. 현재 과학기술정보통신부는 LG유플러스에 대해 공식 경고하고 한국인터넷진흥원(KISA)과 함께 특별 점검 조사를 벌이고 있다. 이를 토대로 실효성 있는 조치방안을 마련, 3~4월 중 시정 조치를 요구할 계획이다.

지난 12일 LG유플러스의 고객 정보를 해킹한 것으로 보이는 조직은 ‘LG유플러스 데이터의 가격은 BTC(비트코인) 가격 변동에 따라 11만 USDT(테더)’라는 내용의 글을 올렸다. 앞서 이들은 지난달 22일에도 ‘LG유플러스 고객 정보 3000만건 이상을 인트라넷 네트워크를 통해 획득했다’며 비트코인이나 테더로 해당 정보의 전부 혹은 일부를 팔겠다는 글을 게시한 바 있다. 이들은 데이터 일부의 캡처 이미지도 올렸다.

해당 데이터에는 한국인뿐 아니라 외국인으로 보이는 이름, 기업체명도 포함됐다. 주소와 전화번호, 이메일 주소, 가입자 고유 식별 번호(IMSI) 등이 담겨 있었으며, 이런 정보는 한자 간체자로 분류돼 정리돼 있다. 

LG유플러스 측은 처음에는 18만명의 개인 정보가 유출됐다고 했다가 지난 3일 약 11만명이 더 있다고 정정한 바 있다. 심지어 11만명 중 8만명은 개인정보보호위원회 조사 과정에서 밝혀졌다. LG유플러스는 현재까지 개인정보 유출 피해자가 29만명이고, 한 사람당 중복 유출 등으로 피해 건수는 59만건으로 파악하고 있다. 하지만 지금까지 확인된 개인정보 유출 피해자가 29만명이고, 앞으로 더 늘어날 수 있다. 

또 LG유플러스는 개인정보 유출에 이어 지난 1월 29일, 2월 4일에 각각 디도스 공격을 받았다. 이로 인해 LG유플러스의 인터넷 서비스 접속 오류가 발생해 가입자들이 피해를 입었다. 해커가 디도스 방식으로 LG유플러스를 공격한 것은 금전을 노리거나 자신의 실력을 과시하기 위한 전략을 일환으로 풀이된다. 디도스란 공격 대상 기업의 서버나 네트워크 대역이 감당할 수 없는 수준의 트래픽을 순간적으로 일으켜 서버를 마비시키는 사이버 공격 방식이다. 이에 해당 기업의 서비스가 중단돼 이용자들이 불편을 겪게 된다.

기업이 이러한 디도스 공격에 대응하기 위해서는 백업과 우회 통신 체계를 철저히 갖춰야 한다. 사회적 기반시설인 통신망을 운영하는 통신사나 전국민이 이용하는 서비스를 담당하는 공공기관은 운영 서버의 데이터를 실시간으로 백업하는 서버와 스토리지를 마련한다. 운영 서버가 디도스 공격을 받을 경우 이곳의 인터넷을 끊고 백업 서버를 운영 서버로 활용해 서비스 중단을 최소화한다. 하지만 이러한 백업체계가 제대로 작동하지 않으면 서비스 중단 시간이 길어질 수밖에 없다.

정보보호 공시 종합 포털에 따르면 LG유플러스의 2021년 12월 말 기준 정보보호부문 투자액은 291억원으로 통신3사 중 가장 적은 금액을 집행한 것으로 나타났다. 같은 기간 SK텔레콤과 KT의 정보보호부문 투자액은 각각 626억원, 1021억원으로 최소 2~3배 이상 많았다.

정보보호부문 전담 인력현황에서도 차이를 보였다. 공시에 따르면 LG유플러스의 정보보호부문 전담 인력은 내부인력과 외부인력을 포함해 총 91.2명이 배치된 것으로 나타났다. 이는 196.1명의 정보보호부문 전담 인력을 배치한 SK텔레콤 대비 절반 이하로 나타났으며, 335.8명을 배치한 KT와 대비했을 때 현저히 적은 것이 사실이다. LG유플러스는 최고정보책임자(CIO)가 정보보호와 관련된 업무를 총괄하고 있다. CIO 위에 최고기술책임자(CTO)와 최고경영자(CEO)가 위치하는 구조다.

한편, LG유플러스는 고객 29만명의 정보를 유출한 해킹 피해 사고의 진상 파악을 위해 해커나 개인정보 판매업자와 접촉하려 했던 것으로도 확인됐다. LG유플러스는 개인정보 유출 사건 KISA 등에 신고한 다음날인 1월 4일 보안 협력 업체를 통해 해커·개인정보 판매자와 접촉했다. 지난 1월 2일 고객 개인정보 유출 사실을 알고 난 뒤 그 경로를 살펴보기 위한 조치였다는 것이 LG유플러스 측 설명이다. 보안 협력 업체는 해커·개인정보 판매자에게 소액을 건넨 뒤 정보를 받았고 LG유플러스는 이 정보를 확인했으나, 여기에는 유출 경로에 대한 내용은 없었다고 주장했다. 

LG유플러스는 더불어민주당 이정문 의원실에 보낸 자료에서 “보안 전문 협력 업체를 통해 판매자와 접촉을 했음에도 판매자는 유출 경로 제시 및 게시글 삭제 등의 조치를 취하지 않았다”며 “이에 LG유플러스는 해킹포럼 운영자에게 판매자 게시글 삭제를 요구해 판매자의 불법 정보 판매 게시글이 삭제 처리되도록 조치했다”고 설명했다.

LG유플러스는 최근 해지고객 정보유출 사실을 뒤늦게 개인정보보호위원회에 신고해 논란이 일기도 했다. LG유플러스 측은 해지고객 정보유출 사실을 뒤늦게 공지한 이유에 대해 법적 리스크 검토와 유권해석 때문에 개인정보위와 협의를 하느라 늦어졌다는 입장이다. 개인정보위 측은 LG유플러스의 해지정보 관리에 문제가 있다는 주장이다. 

LG유플러스 측은 해지 고객 정보 유출 확인이 늦어진 이유에 대해 “임의로 해지고객 정보를 열람할 경우의 법적 리스크를 검토하는데 시간이 필요했다”고 설명했다. 이에 대해 개인정보위 조사2과 관계자는 “정보통신서비스제공자는 개인정보보호법 제39조의4에 따라 개인정보의 분실‧도난‧유출 사실을 안 때에는 지체 없이 유출 등이 된 개인정보 항목 등을 이용자에게 알리고 전문기관에 신고해야 한다”며 “유출 신고 및 통지의 대상이 되는 개인정보란 다른 법령에 의해 별도로 분리‧보관된 개인정보를 포함하므로 LG유플러스는 해지 고객을 별도로 분리‧보관한 데이터베이스(DB)에서 유출된 개인정보가 있는 경우 그 사실 안 때에 지체 없이 해당 이용자에게 알리고 전문기관에 신고해야 한다”고 말했다.