“유출된 LG유플 개인정보는 2018년 정보”…'복제폰' 피해 가능성은 낮아

2018년 시점 LG유플러스 가입 고객들 중심 피해 발생
실제 정보 유출 시점이 언제인지는 추가 조사 필요
LTE 키 등 유심 복사 위한 정보는 유출 안돼

[이데일리 정다슬 기자] LG유플러스(032640)가 당국에 유출된 개인정보가 2018년 정보라고 보고한 사실이 확인됐다. 아울러 유출된 정보 중에는 유심 복제를 위해 필수적인 정보가 포함돼 있지 않아 복제폰 피해 등이 발생할 가능성은 낮은 것으로 나타났다.

16일 당국과 보안업계에 따르면, LG유플러스는 자체 조사를 통해 이 같은 사실을 경찰과 개인정보보호위원회, 한국인터넷진흥원(KISA) 등에 고지한 상태다.

당국은 조사를 통해 추가 확인이 필요하다는 입장이다. 왜 2018년 정보가 유출된 건지, 유출된 시점은 언제인지, 유출 경로는 어떠한지 등이 조사대상이 될 것으로 보인다. 개인정보보호위원회는 LG유플러스가 고객의 개인정보를 보관·관리하는 과정에서 개인정보보호법에 위반한 사실이 없는지를 중점으로 조사하고 있다.

보안업계 관계자는 “이번 정보 유출 인지 계기가 된 다크웹 개인정보 판매 게시글을 올린 이는 해커가 아닌 어딘가에서 떠도는 정보를 판매한 것으로 짐작된다”며 “왜냐면 해당 게시글에서 판매자의 아이디 자체가 삭제됐기 때문”이라고 설명했다. 해당 다크웹에서 정보를 판매하려면 자신이 직접 그 정보를 ‘훔쳤다’는 사실을 입증해야 하는데, 해당 판매자는 이를 입증하지 못해 차단(banning)을 당했다는 것이다. LG유플러스의 정보 유출 시점이 인지 시점보다 훨씬 앞서 있을 가능성을 뜻한다.

이는 이번 유출 피해 대상자 중 현재 LG유플러스에 가입돼 않는 고객들이 상당 수 포함된 원인이기도 하다. 일각에선 LG유플러스 도매제공망을 쓰는 고객(알뜰폰 고객)도 피해를 입은 것 아니냐는 우려도 나왔지만 사실이 아닌 것으로 나타났다.

LG유플러스가 사건을 인지한 시점과 고객에 고지한 시점이 불일치하는 것 역시 조사대상이 될 전망이다. LG유플러스는 지난 2일 정보 유출 사실을 인지했으며 이튿날 경찰 사이버수사대와 KISA에 수사를 의뢰했다고 밝힌 바 있다. 다만, 고객에게 이 같은 사실을 알린 시점은 지난 10일이었다.

개인정보보호법 제34조에 따르면 개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 지체없이 서면 등의 방법으로 해당 정보주체에 개인정보 유출에 관한 다음의 사실을 알려야 한다. 다만, LG유플러스는 피해 상황을 파악하는데 시간이 소요됐으며 KISA 등에 3차례에 걸쳐 즉각적인 신고를 했다.

가장 우려되는 2차 피해와 관련해선 피해 정도가 심각한 ‘심 스와핑’(SIM Swapping) 가능성은 미미한 것으로 확인됐다. 이번 유출된 정보 중에는 유심 고유식별번호인 IMSI와 단말기 고유식별번호인 IMEI, 유심번호 등이 포함돼 있어 일각에선 유심 칩을 복사한 뒤 개인 금융자산을 갈취하는 심 스와핑이 일어나는 것이 아니냐는 지적이 나왔다. 그러나 유출된 정보는 고정된 IMSI가 아닌 임시값으로 주어지는 GUTI인 데다가 IMEI 역시 복호화돼 있어 이를 활용해 유심을 복사하기는 쉽지 않다는 것이 보안업계 설명이다.

아울러 유심 복제에 필수적인 네트워크 인증키(LTE key) 역시 유출되지 않은 것으로 확인됐다. LG유플러스 관계자는 “구체적인 인증 프로세스는 통신사마다 다소 다르지만 복제폰 가능성은 없는 것으로 보고 있다”고 말했다.

정다슬 (yamye@edaily.co.kr)