사이버 피해 평균 금액 190억원... 해커는 판매 비용 1억3000만원 요구
![LGU+ 용산사옥.[사진출처=LG유플러스]](/news/photo/202302/135283_122845_5118.jpg)
LG유플러스의 이용자 개인정보가 유출돼 조사가 진행되는 가운데 회사 측과 해커 간의 주장이 엇갈리고 있다. 회사 측은 개인정보 유출 피해자가 29만명이라 주장한 반면 해커 측은 3000만명 가량의 이용자 데이터를 갖고 있다고 밝혔다.
다만 해커 측의 유출정보 공개가 제한적인데다 자신의 주장마저 번복하는 모양새다. 또 여타 데이터 유출 사태와 비교해 상당히 낮은 금액을 요구하고 있어 신뢰성이 떨어진다는 주장도 나온다.
14일 통신업계에 따르면 LG유플러스는 지난달 2일 고객 개인정보가 유출된 후 한국인터넷진흥원(KISA) 등에 해당 사건을 신고한 뒤 보안 협력 업체를 통해 유출된 개인정보를 가지고 있는 해커 측과 접촉했다. 협력 업체는 해커 측에 소액의 돈을 전송해 정보를 받았고 LG유플러스가 이 정보를 확인했지만 유출 경로에 대한 내용은 없는 것으로 알려졌다.
기업들이 고객정보 유출 사실을 알게 되면 관계 기관에 이를 신고하고 정보 유출 경로 확인을 위해 해커에게 접촉하는 게 통상적인 과정이다. 눈덩이처럼 커질 수 있는 피해를 막기 위해 유출 경로 정보가 필요하나 확인 결과 읫이가 없는 정보였다는 입장이다. LG유플러스 관계자는 또 "해커 측과 유출 경로 확인 외에는 금전 거래를 한 사실이 없다"고 덧붙였다.
특히 해커 측은 LG유플러스 개인정보 데이터를 판매한다는 게시글을 텔레그램 등에 올렸으나 당초 2000만 건이라고 주장했던 데이터를 3000만으로 번복하는 등 신빙성에 의구심이 제기되고 있다. 여기에 해커 측은 LG유플러스 데이터 3000만건 판매 비용을 1억3000만원이라는 금액을 제시했다. 이는 사이버 공격을 당한 기업들의 피해액수에 비해 매우 적은 금액이다.
앞서 사이버 위험 모니터링 기업인 블랙 카이트(Black Kite)가 지난 2017년부터 작년까지 세계 1700개 기업에서 일어난 2400건의 사이버 피해를 분석한 결과에 따르면 데이터 피해로 인한 평균 피해액은 1500만 달러(약 190억원)인 것으로 집계됐다.
통신업계 관계자는 "해커가 주장하는 유출 규모가 매우 방대한 데 비해 요구한 금액은 터무니없이 적은 수준"이라며 "확보했다는 정보들도 판매를 위해 샘플로 보여줄 법 한데 어떤 정보도 공개하지 않고 있어 의구심이 든다"고 지적했다.
LG유플러스 측이 이달 공개한 개인정보 유출 피해자는 29만명이다. 회사 측이 지난달 발표한 유출 피해자는 18만명인데 이보다도 늘어난 수치다. 한 사람당 중복 유출 등으로 피해 건수는 59만 건으로 추정되고 있다. LG유플러스 관계자는 "추가된 피해자 11만명은 이미 해지한 고객들이기 때문에 직접 들여다보기 민감한 정보라 확인이 늦어졌다"며 "해지한 고객이라도 의무 보유 기간이 존재한다"고 덧붙였다.
개인정보보호위원회와 경찰, 과학기술정보통신부, KISA는 지난달 9일부터 개인정보 유출 경위 파악을 위한 특별 조사에 돌입했다. 오는 3∼4월 중 조사 결과를 발표한 뒤 LG유플러스에 시정 조치를 내릴 예정이다. 사고 재발을 위해 '침해 사고 대응 체계' 제도도 개선한다는 계획이다.
양청삼 개인정보보호위 조사조정국장은 같은달 브리핑에서 "현재 개인정보 18만 건이 유출됐다고 전해졌는데 이보다 더 많은 데이터가 유출될 우려가 있어 유출 규모를 철저하게 확인하는 과정이 기본"이라고 밝혔다.
[위키리크스한국=최종원 기자]
sus@wikileaks-kr.org
