개인정보 유출, 디도스 공격 방어 실패… 공개 사과한 경영진
보안 체계 고도화에 1000억원 투자, 고객 신뢰 회복 집중할 것

16일 기자간담회를 열고 최근 발생한 고객 개인정보 유출과 디도스 공격 방어 실패에 대해 사과하고 사후 대책 및 보안체계 강화 등의 안건을 발표한 LG유플러스. 사진은 피해를 입은 고객들에게 사과하고 있는 LG유플러스 경영진의 모습(사진=LG유플러스)/그린포스트코리아
16일 기자간담회를 열고 최근 발생한 고객 개인정보 유출과 디도스 공격 방어 실패에 대해 사과하고 사후 대책 및 보안체계 강화 등의 안건을 발표한 LG유플러스. 사진은 피해를 입은 고객들에게 사과하고 있는 LG유플러스 경영진의 모습(사진=LG유플러스)/그린포스트코리아

LG유플러스 경영진이 최근 발생한 고객 개인정보 유출 사건과 디도스 공격 등 대해 고개를 숙였다. 이와 함께 사이버 보안체계의 미흡함을 인정하며 혁신을 기할 것을 발표했다.

LG유플러스는 16일 서울 용산사옥에서 최근 발생한 개인정보 유출 사건과 디도스 공격 등에 대한 경과를 공개하고, 재발 방지를 위해 ‘사이버 안전 혁신안’ 발표를 위한 기자간담회를 개최했다.

이날 기자간담회에 참석한 황현식 LG유플러스 사장은 두 사고에 대해 공개 사과했다. 황현식 사장은 “개인정보의 유출과 디도스 공격으로 인한 인터넷 서비스 오류로 불편을 겪은 모든 고객분들에게 진심으로 사과드린다”며 “이번 사고를 매우 중대한 사안으로 보고 있으며, 고객의 신뢰 회복과 고객의 안전을 위해 정보보안체계를 기본부터 다시 점검해 완벽하게 개선할 것”이라고 밝혔다.

◇ 개인정보 유출과 디도스 공격, 보안 취약점 드러낸 LG유플러스

LG유플러스는 지난 1월 해커로 인해 고객의 개인정보가 유출된 것이 확인됐으며, 1월 29일부터는 세 차례 이상의 디도스 공격을 받으면서 인터넷 서비스 접속 오류가 발생하는 사고가 발생했다.

LG유플러스의 개인정보유출 사건은 한 해커가 3000만건의 고객정보를 16비트코인에 판매하겠다는 Breach포럼, 텐센트클라우드, 텔레그램 등을 통해 게시하면서 알려졌다. 이날 이상혁 CTO(최고기술경영자)의 발표에 따르면, LG유플러스는 게시글 확인 후 보안협력 업체와 협력해 59만건의 데이터를 입수해 29만명의 피해를 파악했다. LG유플러스는 1차로 18만명에 대한 고객정보유출 사건에 대해 고지했으며, LG유플러스 해지 고객인 11만명에 대해서도 2차로 고지했다.

이상혁 CTO는 “유출 항목은 성명, 이메일, 단말번호, 데이터 생성 기간 등으로 유심으로 복제가 어렵지만 스팸이나 스미싱 등에 사용될 수 있는 상황”이라며 “해커는 3000만명의 고객데이터를 가지고 있다고 주장하고 있는 만큼 전체 고객 대상으로 유심 무상교체, 스팸전화 알리미 서비스 제공으로 고객 신뢰를 높이는 방법을 고려 중”이라고 밝혔다. 또한 “정확한 유출경로 등은 정부기관 수사 진행에 따라 공개할 것이며, LG유플러스도 수사에 적극 협조할 것”이라고 덧붙였다.

개인정보유출 사건과 함께 발생한 LG유플러스 디도스 공격 사건은 1월 29일부터 발생했다. 대용량 데이터의 유입으로 전국 단위에서 인터넷 접속장애가 발생한 것이다. 이후 2월 4일에도 2차례의 디도스 공격으로 일부 지역에 인터넷 서비스 접속 오류가 발생했다.

LG유플러스는 이후 방어체계를 마련해 전 장비에 도입했고, 2월 5일부터 간혈적으로 디도스 공격이 계속되고 있지만 현재 서비스에는 영향이 없다고 밝혔다.

최근 발생한 개인정보 유출 및 디도스 공격에 대한 사과와 함께 1000억원을 투자해 사이버 보안 체계를 고도화하는 '사이버 안전 혁신안’을 발표한 황현식 LG유플러스 대표(사진=임호동 기자)/그린포스트코리아
최근 발생한 개인정보 유출 및 디도스 공격에 대한 사과와 함께 1000억원을 투자해 사이버 보안 체계를 고도화하는 '사이버 안전 혁신안’을 발표한 황현식 LG유플러스 대표(사진=임호동 기자)/그린포스트코리아

◇ 보안체계에 1000억 투자, 업계 최고 수준으로 끌어올릴 것

황현식 LG유플러스 대표는 이번 사건을 계기로 LG유플러스의 정보보안 체계를 손 볼 것을 천명했다. 이를 위해 ▲정보보호 조직·인력·투자 확대 ▲외부 보안전문가와 취약점 사전점검·모의 해킹 ▲선진화된 보안기술 적용 및 미래보안기술 연구·투자 ▲사이버 보안 전문인력 육성 ▲사이버 보안 혁신 활동 보고서 발간 등으로 구성된 ‘사이버 안전혁신안’을 발표했다.

황 대표의 발표에 따르면, LG유플러스는 전사정보보호·개인정보보호책임자(CISO·CPO)를 CEO 직속 조직으로 강화하고, 보안과 품질에 대한 투자를 강화하기 위해 연간 정보보호 투자액을 현재 3배 수준인 1000억원으로 확대할 방침이다.

이와 함께 외부외부 보안전문가의 의견도 적극 수렴해 보안 안정성을 제고한다. 보안컨설팅기업과 전문기관, 학계에 종사하는 외부 전문가들로 구성된 정보보호위원회를 운영하고, 보안기술과 관리체계를 점검한다. 이와 함께 세계 최고 수준의 화이트해킹 대회, 침투방어훈련을 수행하며 보안 취약점을 점검한다.

또한 선진화된 보안기술을 적극 수용하고, 미래 보안기술에 대한 연구와 투자도 강화할 방침이다. 인공지능(AI)을 활용한 보안위협 분석·대응체계를 인프라에 적용하고, 공격자가 내부에 있다는 전제로 보안수준 강화방안을 마련하는 ‘제로 트러스트 아키텍처(Zero Trust Architecture)’에 기반한 최신 기술로 전사적인 보안수준을 향상시킬 계획이다. 또한 양자내성암호(PQC) 기술개발과 보안 전문성을 갖춘 기업에 지분투자·M&A를 적극 추진해 미래 보안기술 분야를 선도한다는 구상이다.

전사적인 사이버 보안 강화 활동과 함께 사이버 보안 전문인력 양성에도 힘쓴다. 국내 보안관련 대학(원), 연구소와 인력양성 협약을 맺고, 보안 관련 학과/과정을 연계한 전문인력 육성 및 채용을 추진한다.

LG유플러스는 이 같은 사이버 보안 혁신활동을 매년 ‘사이버 안전혁신 보고서’를 발간할 계획이다. 사이버 위협에 대응하는 주요 활동과 신기술, 조직·인력 강화, 투자 현황에 대해 투명하고 상세하게 공개할 계획이다.

황 대표는 “네트워크와 정보 보안은 통신사업의 기본이자 고객의 신뢰로 이어진다”며 “이번 사건을 계기로 고객에게 더 깊은 신뢰를 주는 보안과 품질 부문에서 경쟁사 중 가장 강한 회사로 거듭나겠다”고 전했다.

한편, LG유플러스는 정부의 조사가 나오는 대로 고객 유형을 고려해 피해지원을 이뤄나갈 계획이며, 피해구호협의체를 구성해 세부  보상안을 마련할 계획이라고 밝혔다. 

황 대표는 "보안 체계 강화를 위해 선정한 1000억원의 투자금과 피해 고객의 피해보상금은 별도"라며 "보안체계 강화를 위한 투자금에 변동이 있겠지만 늘면 늘었지 줄이진 않을 것"이라며 보안 강화에 대한 의지를 드러내기도 했다. 

저작권자 © 그린포스트코리아 무단전재 및 재배포 금지