[해커에 뚫린 LGU+]① 29만명 고객정보 유출... 해커와 금전거래로 피해 경로 확인 시도

윤진우 기자 2023. 2. 16. 15:21
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
일주일 간 다섯 차례 인터넷 장애
고객정보 유출도 외부 연락 통해 인지
해커와 유출 경로 확인 위한 거래에도 아무 소득 없어
정보보호 투자 3배 확대 등 ‘안전혁신안’ 내놔
”고객 신뢰 회복 위한 체질 개선으로 이어져야”

그래픽=손민균

그래픽=손민균

LG유플러스가 개인정보 유출과 인터넷 장애 발생으로 곤욕을 치르고 있다. 가입 고객 29만명의 개인정보가 털린 데다 디도스(DDoS·분산서비스거부) 공격에 무방비로 노출, 일주일 간 다섯 차례에 걸쳐 인터넷망 장애가 발생했기 때문이다. 정보 유출 경로를 확인하기 위해 해커와 금전거래까지 나섰지만 유출 경로를 끝내 밝혀내지는 못한 것으로 파악됐다.

16일 통신업계에 따르면 LG유플러스의 인터넷 장애가 시작된 건 지난달 29일이다. 디도스 공격에 따른 트래픽 과부하로 지난달 29일 오전 2시, 오후 5시, 오후 11시 등 세 차례에 걸쳐 총 63분간 서비스 차질이 발생했다. LG유플러스의 인터넷 장애는 여기서 그치지 않았다. 지난 4일 오후 4시 57분~5시 40분, 오후 6시 7분~23분 등 두 차례에 걸쳐 59분 동안 인터넷 접속이 끊겼다. 일주일간 다섯 차례의 인터넷 장애가 발생한 것이다.

해커 주장에 따르면 지난해 11월에는 서버 해킹으로 29만명의 서비스 가입자 개인정보가 유출됐다. LG유플러스는 해커가 한 해킹포럼에 올린 가입자 개인정보를 판매한다는 글을 뒤늦게 발견하고 개인정보가 유출된 것을 파악했다. 하지만 정확한 피해 규모를 파악하지 못하고 우왕좌왕하는 모습을 보였다. LG유플러스는 지난달 가입자 18만명의 개인정보가 유출된 사실을 확인했다고 밝혔지만, 3주 후 해지 고객 11만명의 정보도 추가로 유출된 정황을 파악했다고 밝혔다. 이에 피해 규모가 29만명에 달한다고 정정했다. LG유플러스 관계자는 “파악한 개인정보 유출 피해자는 29만명으로 한 사람당 중복 유출 등으로 피해 건수는 총 59만건으로 확인했다”라고 설명했다.

그래픽=손민균

그래픽=손민균

LG유플러스가 해커에게 고객 개인정보를 뺏기면서 2차 피해도 우려되는 상황이다. LG유플러스는 유출된 개인정보에 고객번호와 이름, 전화번호는 물론이고 주소, 생년월일, 암호화된 주민번호, 유심번호 등이 포함됐다고 밝혔다. 해커가 수집한 개인정보를 조합해 추가 해킹에 나설 경우 피해 규모는 더 커질 수 있다. 개인정보 유출 피해가 확인된 후에도 적절한 대응을 하지 못했다는 비판이 나온다. 장항배 중앙대 산업보안학과 교수는 “사이버보안 사고 이후 복구 과정을 보면 평소 회사가 보안체계를 어떻게 관리했는지 간접적으로 확인할 수 있다”라며 “LG유플러스는 사이버보안 공격에 대한 위기대응 능력과 보안 콘트롤타워가 없는 게 가장 큰 문제로 보인다”라고 지적했다.

LG유플러스가 추가 피해를 막기 위해 해커와 금전거래에 나선 것도 도마에 올랐다. LG유플러스는 이정문 더불어민주당 의원실에 보낸 자료에서 “보안 협력 업체를 통해 해커(개인정보 판매자)와 접촉했고 소액을 건넨 뒤 정보를 받았다”라며 “판매자는 유출 경로 제시 및 게시글 삭제 등의 조치를 취하지 않았다”라고 했다. 해커와의 부적절한 금전거래에 나섰지만 아무런 소득이 없었다는 의미로 풀이된다.

LG유플러스의 부적절한 대응에 시민단체들은 비판을 쏟아냈다. 한국소비자단체연합은 성명을 내고 “한국인터넷진흥원(KISA)의 연락을 받고 해킹 여부를 알게 됐다는 LG유플러스의 설명은 보안 불감증을 보여주는 심각한 문제”라며 “정확한 유출 시점과 경위, 개인정보 내역 등을 투명하게 공개해야 한다”라고 주장했다. 소비자주권시민회의도 성명서에서 “LG유플러스는 아직도 유출 경위에 대해 파악하지 못하고 있다”며 “LG유플러스는 엄중하게 처벌하고 수사 결과에 따라 민·형사적 책임을 다하도록 해야 한다”라고 꼬집었다.

일러스트=손민균

일러스트=손민균

한편 LG유플러스는 이날 사이버 공격에 대응하고 보안과 품질을 강화하는 ‘사이버 안전혁신안’을 내놨다. 정보보호 조직과 인력에 대한 투자를 확대하고, 외부 보안전문가와 취약점 사전 점검 및 모의 해킹을 진행한다는 계획이다. 또 미래보안기술에 대한 연구와 투자를 진행하고, 사이버 보안 전문 인력을 육성하겠다고 밝혔다. LG유플러스는 연간 정보보호 투자액도 현재의 3배 수준인 1000억원으로 확대한다.

김승주 고려대 정보보호대학원 교수는 “LG유플러스가 매출액 대비 정보보호에 투자한 금액이 경쟁사 대비 적었다는 건 그만큼 정보보호에 대한 관심과 인식이 낮았다는 것으로 볼 수밖에 없다”며 “이번 결정이 잠시 위기를 넘어가려는 단기적인 대응책이 아닌 고객 신뢰를 회복하기 위한 체질 개선으로 이어지길 바란다”라고 말했다.

- Copyright ⓒ 조선비즈 & Chosun.com -

Copyright © 조선비즈. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
조선비즈에서 직접 확인하세요. 해당 언론사로 이동합니다.