[사설] 허술한 보안·고객정보 관리, 불안·불신 키운 엘지U+

16일 오후 서울 용산 엘지유플러스 본사에서 열린 고객 개인정보 유출과 디도스(DDoS) 공격으로 인한 인터넷 서비스 장애에 대한 기자간담회에서 이 회사 관계자들이 취재진의 질문을 받고 있다. 연합뉴스

대규모 고객 개인정보 유출 사고를 일으킨 엘지유플러스(U+)가 16일 피해 고객에게 사과하고 모바일 가입자 모두의 유심(USIM)을 무상 교체하기로 하는 등 보상 방침을 밝혔다. 또 인터넷 서비스 장애로 영업에 지장을 입은 소상공인을 대상으로 “피해지원센터를 개설한다”고 밝혔다. 피해 보상은 당연한 일이다. 하지만 잇따른 사고로 인한 고객의 불안과 불신은 쉽게 풀릴 것 같지 않다.

엘지유플러스는 지난달 10일 이동통신, 초고속인터넷, 전화 가입자 18만명의 이름, 생년월일, 전화번호 등이 외부에 유출됐다고 공개하고 사과했다. 개인정보를 빼돌렸다고 주장하는 해커가 텔레그램 채널 등에 이를 팔겠다고 공지한 뒤의 일이다. 엘지유플러스는 처음엔 개인정보 유출 피해 고객 수를 18만명이라고 했으나, 나중에 29만명으로 수정했다. 개인정보 유출 피해 사고를 알리기 전, 해커 쪽과 접촉한 사실도 뒤늦게 밝혔다. 고객들은 회사가 개인정보 유출 사실을 통보해주기 전까지 자신의 개인정보가 안전한지 확신할 수 없어 불안에 시달려야 했다. 허술한 보안과 어설픈 사고 대응 모두 비판을 면하기 어렵다.

엘지유플러스는 2020년에도 개인정보 취급 관련 대리점 관리 감독 소홀로 과징금과 과태료 처분을 받았고, 지난해 12월에도 개인정보를 암호화하지 않고 네트워크 폴더에 공유한 일로 과태료를 문 적이 있다. 이번 사고도 그런 허술한 관리에서 비롯한 것은 아닌가 돌아봐야 한다.

엘지유플러스 이용자들은 1월29일 오전에 약 19분간, 오후에 약 22분간 유선 인터넷과 와이파이 접속 장애로 불편을 겪기도 했다. 디도스(DDoS, 분산형 서비스 거부) 공격을 막지 못해 발생한 것이었다. 사고가 잇따르는 것은 보안에 그만큼 허점이 있기 때문일 것이다. 엘지유플러스는 통신 3사 가운데 유독 정보보호 투자액이 적다는 지적을 받는다.

이날 황현식 대표가 기자간담회를 하는 동안, 본사 사옥 1층 로비에서 노동조합원들이 ‘직원들에게 투자하지 않고 정보보호 등 기본에 투자하지 않는다’고 규탄한 것을 회사 쪽은 무겁게 받아들여야 한다. 엘지유플러스는 영역별 보안 전문가를 영입하고, 보안과 품질 투자를 강화하기 위해 연간 정보보호 투자액을 현재의 3배 수준인 1000억원으로 늘리는 내용의 ‘사이버 안전 혁신안’을 발표했다. 계획은 아무리 거창해도 곧 잊힌다. 사고 재발을 막는 것만이 답이다.