[인사이트코리아=정서영 기자] 올해 초 30만명의 고객 정보가 유출됐던 LG유플러스 사태는 ‘보안 체계’와 ‘투자’ 모두 미흡했던 게 주요 원인으로 밝혀졌다. 

지난 27일 과학기술정보통신부가 발표한 ‘LGU+ 침해사고 원인분석 결과 및 조치방안’에 따르면 고객인증 시스템에서 2018년 직후 생성된 29만7117명의 고객 데이터가 유출됐을 것으로 추정했다. 

LG유플러스는 지난 1월 초 사이버 공격으로 약 30만명의 가입자 개인정보가 유출됐다. 그중 약 19만명은 고객, 나머지 11만명은 전자상거래보호법 등에 근거해 분리 보관 중인 해지 고객으로 확인됐다. 다만 과기부는 “해커가 추가적인 고객 데이터를 가지고 있다고 단정하기 어려우나 유출 규모가 더욱 확대될 가능성을 배제하기 어렵다”고 밝혔다.

지난 1월 29일과 2월 4일에는 다섯 차례에 걸친 대규모 분산 서비스 거부 공격(DDoS·디도스)으로 LG유플러스 유선 인터넷 등 간헐적인 통신 장애가 발생했다. 이 때문에 개인뿐 아니라 소상공인과 PC방 사업자 등 많은 고객이 피해를 입었다.

그간 발생한 사태에 대해 지난 2월 황현식 LG유플러스 대표는 “정보유출과 인터넷 서비스 오류로 불편을 겪은 고객들에게 진심으로 사과드린다”며 “이번 사고는 중대한 사안으로 모든 사업의 출발점은 고객이라는 점을 되새겨 고객 관점에서 기본부터 다시 점검하겠다”고 말했다.

LG유플러스 정보유출 사태 발생 원인은?

과기부는 이번 사태의 주요 원인을 정보보호 인력 및 조직 부족, 저조한 정보보호 투자 등으로 지목했다. 구체적으로는 ▲비정상 행위 탐지·차단 대응체계 부재 ▲네트워크 및 시스템 자산 보호 관리 미흡 ▲전문 보안인력 및 정보보호 투자 부족 ▲실효성 있는 보안인식 제고 방안 및 실천 체계 부재 등을 꼽았다.

특히 LG유플러스의 경우 고객 정보보호를 위한 투자액이 통신 3사 중 가장 낮았다. 지난해 12월 발표한 한국인터넷진흥원(KISA) ‘2022 정보보호 공시 현황 분석보고서’에 따르면 관련 투자액은 KT 1021억원, SK텔레콤 860억원, LG유플러스 292억원 등이다. LG유플러스는 KT의 3분의 1에도 못미치는 수준이다. 여기에 정보보호 인력도 KT 336명, SKT 305명으로 300명이 넘는 반면 LG유플러스는 91명에 불과했다.

이종호 과기정통부 장관은 “LG유플러스에 대한 조사·점검 결과 여러 가지 취약점이 확인됐으며 책임 있는 시정조치를 요구했다”고 말했다. 이와 관련해 LG유플러스는 “사고 발생 시점부터 사안을 심각하게 받아들이고 있으며, 과기부의 원인 분석에 따른 시정 요구사항을 전사적인 차원에서 최우선으로 수행할 예정”이라고 밝혔다.

보안·품질투자 1000억원으로 확대…피해지원안도 마련

LG유플러스는 이번 사태 이후 개인정보보호와 사이버 공격에 대응하기 위한 보안과 품질 강화에 주력하고 있다.

우선 사고 직후 개인정보 보호와 디도스 방어를 위해 즉시 개선 가능한 부분은 조치를 취했다는 게 회사의 설명이다. 이와 함께 최고경영자(CEO) 직속 사이버안전혁신추진단을 구성하고, ▲사이버 공격에 대한 자산 보호 ▲인프라 고도화 통한 정보보호 강화 ▲개인정보 관리 체계 강화 ▲정보보호 수준 향상 등 4대 핵심 과제에 102개 세부 과제를 선정해 수행하고 있다.

주요 사고 원인 중 하나로 꼽혔던 정보보호 관련 투자도 확대했다. LG유플러스는 “보안과 품질에 대한 투자를 강화하기 위해 단기간 내 연간 정보보호 투자액을 현재의 3배 수준인 1000억원으로 확대, 집행하고 있다”고 밝혔다.

또 회사 내 최고정보보호책임자(CISO), 개인정보보호 최고책임자(CPO)를 CEO 직속 조직으로 강화하고 이들을 주축으로 개인정보를 비롯한 정보보호 강화 활동을 지속한다는 계획이다. 다만 현재 CISO·CPO 자리는 공석으로, 보안 전문가가 많지 않은 상황에서 적합한 인재를 찾고 있다.

아울러 디도스 장애로 피해를 입은 고객을 위해 마련된 피해보상협의체는 종합 피해보상안을 발표했다. 개인고객 427만여명에게 장애시간 대비 10배를 기본 보상하기로 했다. 이밖에 소상공인, PC방 사업자 등을 위한 보상안도 내놨다. 소상공인의 경우 인터넷이 생업에 직접적인 영향을 미치는 만큼 인터넷, IPTV 등에 대한 이용 요금 1개월분을 감면하는 등의 보상안을 마련했다. PC방 사업자는 통계 지표 기반의 예상 이용자 수, 이용 시간 등을 기반으로 보상금액을 차등 적용하기로 했다.