투자 늘려 조직·사전점검 강화 및 보안기술 고도화 예고
외부 전문가와 협의체 구성 후 '종합 피해 지원안' 마련도
LG유플러스의 가입자 개인정보가 유출돼 조사가 진행되는 가운데 경영진이 대국민 사과를 통해 사태 수습에 나섰다. 보안 품질 강화와 분산 서비스 거부(디도스, DDoS) 등 사이버 공격에 대비하기 위한 '사이버 안전혁신안'도 16일 발표했다.
16일 통신업계에 따르면 LG유플러스는 이날 오후 서울 용산구에 위치한 사옥에서 기자간담회를 개최했다. 황현식 LG유플러스 대표이사(사장)는 "정보 유출과 인터넷 서비스 오류로 불편을 겪은 고객분들에게 진심으로 사과드린다"고 고개를 숙였다.
황 대표는 "이번 사고는 중대사안이며 보안 체계가 통신 산업의 근본이라는 점에 집중하지 못한 결과"라며 "이번 일을 계기로 저희 모든 사업의 출발점은 고객이라는 점을 되새겨 고객 관점에서 기본부터 다시 점검하겠다"고 밝혔다.
앞서 LG유플러스는 지난달 2일 한국인터넷진흥원(KISA)로부터 고객 정보 유출이 의심된다는 소식을 접한 뒤 유출 사실을 찾아내 경찰에 수사를 의뢰했다. 유출된 정보는 가입자마다 상이하나 성명, 생년월일, 전화번호, 가입자 고유식별번호(IMSI), 단말기 고유식별번호(IMEI) 등이며 납부와 관련한 금융 정보는 유출되지 않은 것으로 알려졌다.
LG유플러스 측이 이달 공개한 개인정보 유출 피해자는 29만명 수준이다. 이는 회사가 지난달 추정한 유출 피해자 18만명보다 늘어난 것이다. 한 사람당 중복 유출 등으로 피해 건수는 59만 건으로 추정된다. LG유플러스 관계자는 "추가된 피해자 11만명은 이미 해지한 고객들이기 때문에 직접 들여다보기 민감한 정보라 확인이 늦어졌다"며 "해지한 고객이라도 의무 보유 기간이 존재한다"고 설명했다.
황 대표는 "위기 상황을 겪으면서 고객에 대한 진심 어린 사과와 케어가 부족했다고 판단했다"며 "고객 신뢰 회복을 위해 다양한 개선 대책을 수립하고 조직을 정비해야 할 필요성을 느꼈다"고 했다. 그는 이어 "자사 정보 보안 체계를 면밀히 재점검한 결과 사업의 근간이 되는 보안과 네트워크 분야에 더 많은 투자와 인력이 필요하다는 것을 느꼈다"고 강조했다.
원인 조사 방안에 대해 황 대표는 "학계, 법조계, 시민단체 등으로 피해 지원 협의체를 구성해 각 고객별 피해 유형과 다양한 요소들을 고려해 고객들이 실질적으로 체감할 수 있는 종합 피해 지원안을 마련하겠다"며 "별도 사이트와 전용번호 개설을 통한 피해 지원센터를 설치·운영하고, 사고 원인 및 개선 사항 이행 및 고객 신뢰 회복을 위한 전담반을 구성해 실질적인 실행에 나서겠다"고 설명했다.
근본적인 해결책도 강구한다. LG유플러스는 이날 ▲정보보호 조직·인력·투자 확대 ▲외부 보안전문가와 취약점 사전점검·모의 해킹 ▲선진화된 보안기술 적용 및 미래보안기술 연구·투자 ▲사이버 보안 전문인력 육성 ▲사이버 보안 혁신 활동 보고서 발간 등 '사이버 안전 혁신안'을 발표했다. 황 대표는 "단기간 내 정보보안 투자를 현재의 3배 수준인 1000억으로 높여 보안 조직과 관련 인력 투자를 대폭 강화해 정보 보안 수준을 높이겠다"고 강조했다.
황 대표는 마지막으로 "네트워크와 정보 보안은 통신 산업의 기본이며 고객의 신뢰로 이어진다는 것을 잘 알고 있다"며 "기본을 더욱 굳건히 하고, LG유플러스 임직원 모두 각자 위치에서 놓치거나 소홀한 부분은 없는지 매 순간 경계하며 점검하겠다"고 다짐했다.
대국민 사과 이후 황 대표, 이상엽 CTO(최고기술책임자), 권준혁 부사장, 정수헌 부사장, 최택진 부사장, 박형일 부사장 등 LG유플러스 경영진들이 일문일답을 진행했다. 개인정보 유출 경로가 확인됐는지를 묻는 질문에 "과학기술정보통신부 등 주무 부처와 유출 경로를 확인하고 있고 전문 조사업체를 통한 디지털 포렌식 조사도 진행하고 있다"고 밝혔다.
화웨이 5G 장비를 사용한 것이 개인정보 유출 사태를 초래한 것이냐는 질문에는 "관련이 없다"고 밝혔다. 황 대표는 "이번 사태는 화웨이 장비 이슈와 관련이 없는 것으로 파악하고 있다"며 현재 글로벌 최고 수준 보안 업체로부터 별도의 이행사항을 점검 받고 있어 사건과는 무관하다"고 설명했다.
해커는 시스템에 백도어(보안 시스템을 무력화하는 악성코드)를 심어두고 정보를 빼돌렸을 가능성이 있다. 이를 확인했는지를 묻는 질문에 경영진은 "유출이 되면 고객 보호를 위해 해커와 접촉하는 경우가 많다"며 "백도어를 포함한 이슈는 없는 것으로 확인 됐지만 다른 이슈가 있을 수 있어 정부 기관과 조사를 진행해 다시 발표할 것"이라 전했다.
텔레그램에서 해커가 개인정보를 판매하는 것에 대한 대책을 묻는 질문도 나왔다. 해커 측은 LG유플러스 개인정보 데이터를 판매한다는 글을 텔레그램 등에 게시했다. 다만 당초 2000만 건이라고 주장했던 데이터를 3000만으로 번복하는 등 신뢰성이 하락하고 있다.
경영진은 "보안 전문 업체를 통해 판매 행위를 모니터링하고 있고 정부와 협력해 판매 게시글도 삭제하고 있다"며 "텔레그램에도 노력하고 있지만 판매가 진행중인 만큼 정부와 협력해서 대책을 고민하겠다"고 답했다.
개인정보보호위원회와 경찰, 과학기술정보통신부, KISA는 지난달 9일부터 개인정보 유출 경위 파악을 위한 조사에 들어갔다. 오는 3∼4월 중 조사 결과를 발표한 뒤 LG유플러스에 시정 조치를 하달할 방침이다.
[위키리크스한국=최종원 기자]
sus@wikileaks-kr.org
