데일리임팩트

[데일리임팩트 변윤재 기자] LG유플러스 이용자 18만명의 개인정보가 줄줄이 샜다. 

LG유플러스는 한국인터넷진흥원(KISA)로부터 ’의심되는 정황이 포착됐다‘는 이야기를 듣기 전까지 유출 사실을 인지하지 못했다. 경찰, KISA에 신고하고 이용자에게 정보 유출 사고를 알린 것도 시간이 걸렸다.

앞서 LG유플러스가 정보 유출로 과태로 처분까지 받은 점을 고려하면 정보보호 관리부터 사후 대응까지 LG유플러스가 개선되지 않았다는 비판을 받을 수 있는 대목이다. 

11일 업계에 따르면, 전날 LG유플러스는 홈페이지를 통해 “일부 고객들의 개인정보가 유출된 사실을 인지했다. 소중한 정보가 부적절하게 이용될 수 있으니 유의해달라”는 내용의 공지를 띄웠다. 금융정보를 제외한 18만명의 이름과 생년월일, 전화번호가 유출됐다. 

LG유플러스는 2일 내부 확인을 한 뒤 이튿날인 3일 경찰, KISA에 정보 유출을 신고했다고 밝혔다. 사고 인지부터 신고까지 2일 가량 소요된 셈이다. 그러고도 이용자에게 정식 공지하기까지 일주일이 더 소요됐다. 

개인정보 유출 사실을 인지한 시점부터 24시간 내 이용자에게 통지해야 한다. 1000명 이상의 개인정보가 유츨된 경우에는 인터넷 홈페이지에 알아보기 쉽게 관련 내용을 7일 이상 게재하고 개별적으로 통지해야 한다. 아울러 5일 이내 통지 여부, 유출된 개인정보의 항목과 규모, 유출된 시점과 경위, 피해 최소화 대책·조치와 결과 등을 관계 기관에 신고해야 한다.  

LG유플러스 관계자는 데일리임팩트에 “방대한 데이터를 확인해 (가입자를) 특정하기 위해 시간이 걸렸다“며 “유출 사실을 확인한 뒤 바로 경찰에 수사를 의뢰했다“고 강조했다. 

LG유플러스의 대응이 늦어질 수밖에 없었던 이유는 유출 사실을 알지 못했기 때문이다. KISA가 다크웹에 올라온 ’이용자 정보를 판매한다’는 게시물을 보고 알린 뒤에야 LG유플러스는 이용자 정보가 샌 사실을 인지했다. KISA 관계자는 데일리임팩트에 “제보를 받아 다크웹에 LG유플러스 이용자 정보 관련 글이 올라온 것을 확인했고 이를 알렸다“면서 “3일에 회사가 ‘의심되는 정황이 있다’고 알려왔다“고 말했다.

신고 시점에 대해서도 회사 측의 설명과 차이가 있는 것으로 파악됐다. 이용자 정보를 특정하는 과정에서 2차례 통지가 있었고 최종 신고시점은 9~10일경이라는 설명이다. 개인정보보호위원회에 따르면, 3일 개인정보 유출 사실을 알린 뒤 데이터를 전달했다. 5일과 9일에 추가로 상황을 공유하는 과정이 있었다. 개보위 관계자는 ‘3차례 신고가 이뤄진 것으로 봐야 하느냐’는 데일리임팩트의 질문에 “조사가 진행 중인 사안이라 구체적으로 말하기 어렵다“면서 “LG유플러스가 인지한 시점과 신고 시점 등에 대해서는 확인하고 있다“고 말했다. KISA 측은 “개인정보 침해 사실을 신고한 시점은 10일“이라고 했다. LG유플러스가 피해 규모부터 파악하느라 이용자 대응이 늦어졌다는 추론이 가능한 대목이다. 

일각에서는 이용자 정보 유출 범위가 더 클 수도 있다는 주장이 나온다. 다크웹에 판매글을 올린 인물은 ‘이용자 2000만명 이상의 정보를 갖고 있다’고 주장했다. LG유플러스 관계자는 데일리임팩트에 “일방적인 주장일 뿐“이라며 “현재 경찰 조사가 진행되고 있기 때문에 정확한 내용이 밝혀질 때까지 수사에 협조하겠다는 입장“이라고 반박했다. 하지만 피해 범위가 넓다는 주장이 제기되고 있다. LG유플러스는 피해 여부와 범위를 조회할 수 있도록 서비스 중인데, 주소, 우편번호, 전화번호, 암호화된 주민번호와 비밀번호, 이용상품명, 휴대전화 모델명, 유심번호까지 유출됐다는 피해자가 등장했다. 

LG유플러스의 대응보다 우려스러운 부분은 유사한 사고가 반복적으로 발생하고 있다는 점이다. 지난 2021년 12월 임직원 이메일 주소와 비밀번호가 담긴 데이터 3만여건이 해킹돼 다크웹에 공개됐다. 지난해 11월에는 대리점 시스템의 개인정보 안전조치 수준을 검사하는 과정에서 실제 개인정보를 사용하기도 했다. 이에 각각 600만원, 1200만원의 과태료를 부과받았다.

LG유플러스는 글로벌 수준의 ESG 경영체계을 구축했다고 강조해왔다. 2019년 5G 기지국, 2020년에는 5G 코어망 운영관리에 대해 국제표준 정보보호 인증(ISO27001)을 획득했다. 이외에도 환경경영(ISO14001), 안전보건(ISO45001), 준법경영(ISO37301)에 대한 국제 공인인증을 획득했다. 특히 지난해 12월 준법경영 인증을 받은 데에는 △전기통신사업 △공정거래 △정보보호 △안전보건 △인사노무 △반부패 △지식재산권 △기업지배구조 등 총 8개 부문에 대한 준법 관리체제를 구축한 게 주효했다. 

하지만 인증 획득 2주 만에 또다시 정보보안 사고가 발생하면서 정보보안 체계가 실효적으로 작동되지 않는다는 지적이 제기된다. LG유플러스가 조직을 구축하는 데에만 집중해 정보보호 역량을 내재화하지 못했다는 것이다. 

실제 LG유플러스는 경쟁사보다 정보보호 투자에 소극적이다. 2022년 정보보호 공시 현황 보고서를 보면, 지난해 LG유플러스는 정보기술에 7535억원을 투자했다. 이 가운데 정보보호에는 292억원을 썼다. 같은 기간 KT는 정보 기술에 1조9493억원을, 정보보호엔 1021억원을 썼다. SK텔레콤도 1조7106억원을 정보 기술에 썼는데, 627억원이 정보보호 투자액이다. 

투자액만 적은 게 아니다. LG유플러스의 기술 투자 대비 정보보호 투자액 비중이 3.87%에 불과하다. 627개 기업 평균은 9.13%, LG유플러스처럼 의무공시기업(565개) 평균은 9.15%였다.

정보보호부문 전담 인력 또한 현저히 적다. KT 335명, SK텔레콤은 196명의 전담인력을 두고 있는 것으로 나타났다. 이에 반해 LG유플러스에서 정보보호를 전담하는 인력은 91명에  불과했다. 이마저도 54%(49명)는 외주 인력이다. 특히 정보기술 인력 중 정보보호 전담인력 비율은 3.9%다. 공시기업 평균(10.72%)의 3분의 1 수준이다. 통신업을 하는 KT(6.6), SK텔레콤(7.8%,)과 견주어도 정보보호 전담인력이 현저히 적다. 

황현식 LG유플러스 사장은 올해 화두로 ‘빼어난 고객 경험’을 제시했다. 통상적 수준을 넘는 빼어난 고객 경험이 있어야 새 가치가 만들어지고, 플랫폼 기업으로의 전환이 탄력을 받는다는 게 황 사장의 판단. 그는 “‘이런 데까지 신경 쓰네?’라는 고객 반응이 나올 정도로 사소해 보이는 영역까지 세심하게 신경 써달라. 상품과 서비스에 ‘내 것’이라는 마음가짐으로 몰입할 때 고객이 인정하는 빼어남이 완성되고 고객들이 우리를 선택하게 될 것“이라고 주문했다. 

그럼에도 수장의 주문과 달리 LG유플러스가 통신서비스기업으로서 기본에 소홀했다는 지적이다. 경영 전문가는 데일리임팩트에 “통신서비스에서 수익을 올리고 있다면, 이용자 보호를 포함해서 안정적으로 서비스가 운영될 수 있도록 해야 한다“면서 “임직원 횡령, 보안 위협 같은 문제가 계속되는 건 정보보호에 대한 내부 인식이 높지 않고 위기관리 역량이 떨어진다는 의미로 해석될 수 있다. 디지털 경쟁력을 원점부터 재점검할 시점“이라고 꼬집었다. 

한편, 서울경찰청 사이버수사대와 과학기술정보통신부, KISA, 개보위는 이날 LG유플러스 상암동 IDC센터에서 현장 조사를 진행했다. 이와 별도로 개보위는 사실조사에 착수한 상태다. 개보위는 개인정보 유출 경위와 규모, 안전조치 의무 준수 여부 등 개인정보 보호법 위반 여부를 조사해 위반 시 행정처분하고, LG유플러스의 재발 방지 대책을 점검할 계획이다.