LG유플러스가 지난 1월 발생한 개인정보 유출, 디도스 공격과 관련해 2월 16일 기자 간담회를 열고 사건 경위와 피해 보상 등 종합적인 대응 방안을 발표했다.
LG유플러스에 따르면, 이번 사건으로 약 29만 명의 개인정보가 유출됐다. 유출된 정보는 고객 이름, 전화번호, 암호화된 비밀번호, 암호화된 주민등록번호, 단말기 번호 등이다. 금융 관련 정보는 포함되지 않은 것으로 파악됐다.
유출 사실은 1월 1일 다크웹 내 한 해킹 포럼에 LG유플러스 고객의 정보를 판매한다는 글이 올라오면서 처음 알려졌다. 당시 판매자는 유출된 정보의 규모를 2000만 건 이상이라고 주장했다. 해당 주장은 아직까지 사실 여부가 파악되지 않은 상황이다.
1월 2일 LG유플러스는 개인정보가 유출된 점을 인지한 후 해당 사건을 한국인터넷진흥원(KISA), 개인정보보호위원회(개인정보위) 등 정부 기관에 신고하고, 2월 4일 유출 경로 파악을 위해 판매자와 접촉했다.
이날 간담회에서는 LG유플러스의 CTO(최고기술책임자)를 맡고 있는 이상엽 전무가 개인정보 유출의 경위에 대해 설명했다. 이상엽 CTO는 “판매자를 통해 입수한 개인정보를 분석한 결과, 유출된 데이터의 일부는 2018년 이전 정보로 추정됐다. 1차로 18만 명의 정보가 유출된 것을 확인했고, 2차로 11만 명의 정보가 유출된 것을 확인했다. 금융 정보는 유출되지 않아 금융 피해는 없겠지만, 신상 정보를 통해 스팸이나 스미싱에 연루될 수 있는 가능성은 여전히 남아 있다”라고 설명했다.
또한 LG유플러스는 1월 29일 대규모 디도스 공격을 받았다. LG유플러스에 따르면, 공격은 1월 29일 이후 간헐적으로 지속됐으며 2월 5일까지 이어지다가 최근에는 잦아든 상태다.
이날 LG유플러스는 이번 사건들과 관련해 피해 보상과 보안 강화에 대한 계획을 내놓았다.
먼저 LG유플러스는 보안 투자와 별개로 피해 보상을 진행할 예정이다. 정보가 유출된 고객 외에 전체 고객을 대상으로 유심(USIM) 무상 교체 등을 보상을 제공한다. 또한 모든 고객을 대상으로 U+스팸 전화 알림 서비스도 제공할 예정이다.
LG유플러스가 발표한 보안성 강화 대책은 ▲정보 보호 조직 인력 투자 확대 ▲외부 보안 전문가와 취약점 점검·모의 해킹 확대 ▲선진화된 보안 기술 적용 및 양자 보안 등 미래 보안 기술 연구·투자 ▲사이버 보안 전문 인력 육성 ▲사이버 보안 혁신 활동 보고서 발간 등이다. LG유플러스는 이 대책들을 위해 약 1000억 원을 투자할 계획이다.
또한 LG유플러스는 학계, 법조계, 보안 기업 등 전문가들과 함께 정보보호위원회를 운영한다. 이를 통해 현재의 보안 기술과 관리 체계를 점검한다. 화이트 해킹 대회와 침투 방어 훈련도 주기적으로 실시한다.
보안 기술과 미래 보안 기술에 대한 투자도 확대한다. 최근 이슈가 되고 있는 인공지능(AI)을 보안에 적극 활용해 위협 분석·대응 체계를 고도화하고, 제로 트러스트 아키텍처에 기반한 보안 기술로 보안 수준을 높일 계획이다.
사이버 보안 혁신 활동을 기록하는 ‘사이버 안전 혁신 보고서’도 발간한다. 보고서를 통해 사이버 위협에 대응하는 주요 활동과 신기술 조직·인력 강화, 투자 현황에 대해 투명하고 상세히 공개할 예정이다.
황현식 LG유플러스 대표는 “통신 서비스에서 보안은 핵심적인 부분인데 우리가 방심하고 미흡했다. 불찰로 인해 피해를 입은 고객들에게 진심으로 사과의 말씀을 올린다. 정부 기관과 함께 조사에 성실히 임하고, 비용을 따지지 않고 피해 보상을 할 수 있도록 최선의 노력을 다 하겠다”라고 말했다.
이어 “이번 사태를 계기로 정보 보안 체계를 재정비할 예정이다. 보안과 네트워크 분야에 더 많은 인력이 필요하다는 것을 인지했다. 사이버 공격은 어디서나 일어날 수 있기에 상시적으로 탄탄한 방어력을 갖춰야 하는데 부족했다. 현재 관계 기관을 통해 사이버 침해 예방과 대응, 보안 정책을 심층 논의하고 있다. 추가로 필요한 부분은 즉시 추진하도록 하겠다”라고 덧붙였다.
한편, 이날 간담회 현장에서는 다음과 같은 질의응답이 이어졌다.
<Q&A>
Q. 공식적인 사과가 늦어진 이유는 무엇인가?
그 부분에 대해서는 죄송하게 생각한다. 사고 경위가 정확히 밝혀지지 않았고 원인을 밝혀내는데 신경을 쓰다 보니 사과를 드릴 적당한 타이밍을 잡지 못했다. 이에 대해서는 다시 한 번 진심으로 죄송하다는 말씀을 올린다.
Q. 1000억 원 이상의 정보 보안 투자를 약속했는데, 피해 보상과 투자는 언제부터 할 계획인가?
피해 보상은 최대한 빠르게 피해 규모를 파악해 이행할 예정이다. 보안에 대한 1000억 원 투자는 당장 올해부터 시작하고 2~3년간 계속해서 진행될 것으로 보인다. 다만 아직까지 KISA, 개인정보위 등 정부 관계 기관에서 심층 조사가 이뤄지고 있어, 어느 정도 결과가 발표되면 본격적으로 시작할 수 있을 것으로 보인다.
Q. 피해 지원 협의체를 구성해 대응안을 마련하겠다고 했는데, 대략이라도 보상안이 마련될 시기에 대해 알려줄 수 있나?
현재 지출 비용과 관계없이 고객들에게 어떻게 최선의 보상을 할 수 있을지 고민 중이다. 적극적으로 고객의 상황을 인지하고 각 피해 상황에 맞는 지원 방안을 마련하겠다. 유심 교체나 광고 없는 스팸 전화 알리미 서비스 등을 통해 고객을 지원할 계획이다. 구체적인 수립안은 마련되면 공식적으로 공개하겠다.
Q. 국회에서 이번 사건이 중국 화웨이 장비와 관련돼 그렇다는 말도 나오는데, 어떻게 보고 있나?
화웨이 장비는 이번 사건과는 관련이 없는 것으로 파악됐다. 또한 화웨이 장비와 관련해서는 보안 기업으로부터 별도의 검사를 계속해서 받고 있다.
Q. 기존의 보안 체계는 어땠고, 앞으로 어떻게 보완할 예정인지?
기존에는 최고정보보호책임자(CISO), CTO 등이 주관하는 정보 보안 부서를 IT 부서와 함께 운영했는데, 앞으로는 별개의 전사 조직으로 꾸려서 운영할 예정이다. 그러면 보안 체계가 확연히 달라질 것으로 기대한다. 보안 인력은 내외부 가리지 않고 필요하다면 모두 충원해갈 예정이다.
Q. 개인정보를 판매하고 있는 텔레그램 채널이 계속 운영되고 있는 것으로 아는데, 대응 방안이 있는지?
텔레그램을 통한 판매 행위를 지속적으로 정부 기관, 보안 기업과 함께 모니터링하고 있다. 해커 포럼 등 외부 사이트에 올라온 게시글은 삭제하도록 조치했다. 텔레그램 채널에 대해서는 정부 기관과 함께 지속해서 대응 방안을 검토하고 있다. 유출 정보의 규모도 더 커질 수 있다고 보고 있다. 피해 보상에 있어서도 제한을 두지 않을 예정이다.
