데일리임팩트

[데일리임팩트 변윤재 기자] “통상적 수준을 넘는 빼어난 고객경험이 있어야 새 가치가 만들어지고 U+3.0으로 나아갈 수 있다.”

황현식 LG유플러스 사장의 ‘빼어난 고객경험’은 브랜딩에 불과했던 것일까. 

LG유플러스의 정보보안에 누수가 발생했다. 29만명에 이르는 개인정보가 대량 유출된 데 이어 수차례 인터넷 접속장애까지 발생했다. 통신·네트워크 서비스가 본업인 기업이 고객 서비스의 핵심인 정보보안에서 낙제점을 받은 셈이다. U+3.0에 제동이 걸릴 수 있다는 우려가 제기된다. 

일주일 사이 다섯 차례 사이버 공격

8일 업계에 따르면, LG유플러스는 최근 한 달 사이 사이버 위협을 당했다. 지난 4일 오후 4시 57분부터 43분간, 오후 6시 7분부터 16분간 등 두 차례에 걸쳐 총 59분 동안 인터넷 접속장애가 발생했다. 

문제는 LG유플러스의 인터넷 접속장애가 일주일 사이 다섯번이나 발생했다는 점이다. 지난달 29일 오전 2시와 오후 5시, 오후 11시 세 차례에 걸쳐 63분 간 인터넷 서비스 접속에 차질이 빚어졌다. 

특히 장애가 발생한 시간이 주말이었던 만큼, LG유플러스 인터넷망을 쓰는 자영업자들이 적잖은 피해를 입었다. PC방에서는 이용자들의 항의가 잇따랐고, 음식점·카페 등에서는 결제가 제대로 되지 않았다. LG유플러스 인터넷 서비스를 이용하는 한 자영업자는 데일리임팩트에 “고객센터에 전화했더니 연결조차 되지 않았다“며 “상황을 모른 채 손님들을 달래느라 진을 뺐다. 게다가 주말 피크타임에 벌어진 일이라 매출 손해도 적지 않다“고 전했다. 

LG유플러스 인터넷 접속장애의 원인은 디도스 공격(분산서비스거부공격)으로 추정된다. LG유플러스 유선인터넷망을 대상으로 집중적인 공격이 발생했고, 대용량 트래픽이 발생하면서 서비스가 마비됐다는 것이다. 

의도성 짙은 공격…원인은 허술한 체계?

업계에서는 연이은 사이버 공격의 의도성을 의심하는 시각이 있다. LG유플러스에서 접속장애가 발생하는 동안 SK브로드밴드·KT의 유선인터넷망에서는 특이징후가 포착되지 않았기 때문이다.해킹과 디도스 공격 사이 직접적 연관성이 없더라도, 상대적으로 부실한 보안체계와 대응이 드러난 만큼 해커들의 ‘집중 타깃‘이 됐을 수 있단 얘기다. 

익명을 요구한 대기업 정보보안 담당자 A씨는 데일리임팩트에 “LG유플러스가 미처 파악하지 못한, 극히 변칙적이고 예외적인 공격일 수도 있다“면서도 “그렇지만 한 회사의 통신망에 연이어 사이버 위협이 발생한다는 건 이례적인 일이다. 해커가 모종의 의도를 갖고 공격을 감행했을 가능성이 있다“고 말했다. 

이 관계자는 공격이 발생한 시점과 대상에 주목했다. A씨는 “자영업자들이 가장 바쁜 주말에 공격했다. LG유플러스는 물론이고, 해당 회선을 쓰는 기업에 대한 공격을 시험하는 차원이었을 수 있다“며 “이유야 어떻든 네트워크 서비스 기업은 안정적 운영 기반을 갖춰야 한다. 그런 점에서 대응 시나리오가 갖춰지지 않았다는 자체가 문제“라고 했다. 

실제 LG유플러스는 정보보호 투자에 소극적이다. 2022년 정보보호 공시 현황 보고서를 보면, 지난해 LG유플러스는 정보보호에는 292억원을 썼다. 같은 기간 KT는 1021억원, SK텔레콤도 627억원을 정보보호에 섰다. KT와 비교하면 3분의 1 수준이고, SK텔레콤과 견주어도 절반도 되지 않는다. 

정보보호부문 전담 인력 또한 현저히 적다. KT 335명, SK텔레콤은 196명의 전담인력을 두고 있는 것으로 나타났다. 이에 반해 LG유플러스에서 정보보호를 전담하는 인력은 91명에 그친다. 이마저도 54%(49명)는 외주 인력이다. 특히 정보기술 인력 중 정보보호 전담인력 비율은 3.9%다. 통신업을 하는 KT(6.6%), SK텔레콤(7.8%)보다 현저히 적다. 

그렇다 보니, LG유플러스의 기술 투자 대비 정보보호 투자액 비중도 3.87%에 불과하다. 627개 기업 평균은 9.13%이고, 의무공시기업(565개) 평균은 9.15%다. LG유플러스가 정보보호 투자에 의지를 갖고 있는지 우려스러운 대목이다. 

안일한 보안 인식이 부른 인재

LG유플러스가 정보보안에 대해 느슨한 인식을 갖고 있다는 비판이 상당하다. 이미 수천만원의 과태료를 부과받고도 유사한 사고가 반복적으로 발생한 탓이다. 지난달 벌어진 개인정보 대량 유출 사고는 이를 방증한다. 

LG유플러스는 ’유출사고 초반 적극적으로 대응’했음을 역설했지만, 실상은 달랐다. 한국인터넷진흥원(KISA)이 다크웹 게시물을 보고 ’의심되는 정황이 포착됐다‘고 알리고나서야 LG유플러스에서도 해킹 사실을 알게 됐다. 유출 시점과 경위, 피해규모를 파악하느라 관계기관 최종 신고와 이용자 공지까지 일주일이 더 걸렸다. 

개인정보보호위원회에 따르면, 당초 18만명으로 파악됐던 피해자는 29만명에 달하는 것으로 파악된다. 이용자 성명·생년월일·전화번호 외에 어떤 정보가 포함됐는지는 개보위가 조사 중이다. 그러나 일부 이용자들이 유출 정보를 확인한 결과, 암호화된 주민번호와 비밀번호·이용상품명·휴대전화 모델명·유심번호까지 포함됐다고 밝힌 점을 고려하면 예상보다 유출된 민감정보의 범위가 넓을 가능성을 배제할 수 있다.  

일련의 사고가 인재라는 비판이 높아지자, LG유플러스는 몸을 낮추고 재발 방지를 약속했다. 디도스 공격에 대응하기 위한 전사 위기관리 태스크포스(TF)를 꾸리고 방어체계를 점검 중이다. 황현식 사장과 네트워크부문장, 최고기술책임자(CTO), 최고리스크관리책임자(CRO) 등 주요 경영진이 위기대응 상황실에서 실시간으로 확인한다. 정보보호 인력도 비상근무에 돌입하고, 추가 공격에 대비하고 있다. 

통신망 불신 누적…신뢰 회복에 적극 나설 때

다만 LG유플러스가 단시간 여론을 잠재울 수 있을진 미지수다. 정부는 고강도의 조사를 예고한 상태. 상황에 따라서는 후폭풍이 지속될 공산이 있다. 과학기술정보통신부는 KISA와 꾸린 민관합동조사단을 특별조사점검단으로 격상하고 조사에 들어갔다. 정보보호 대응체계 전반을 들여다 본 뒤LG유플러스에 엄중한 책임을 묻을 방침이다. 이종호 과기정통부 장관은 “국민들의 일상생활 마비로 이어질 수 있는 엄중한 상황“이라며 “특별조사점검단에서 도출한 결과를 바탕으로 LG유플러스에 책임 있는 시정조치와 미흡한 부분에 대한 조치 이행을 요구하겠다“고 밝혔다. 

신뢰 회복을 위해 LG유플러스가 적극 나서야 한다는 게 업계의 공통된 의견이다. 보상이 대표적이다. 약관상 회사의 잘못임이 분명하거나 접속장애 시간이 연속 2시간을 넘을 때 손해배상이 가능하다. 약관에 미달하기에 LG유플러스가 배상을 할 필요는 없다. 하지만 2021년 KT가 유무선 인터넷 장애로 보상안을 내놨던 것처럼 도의적 책임을 져야 한다는 요구가 높다. 

특히 통신망에 대한 불신을 해소할 시점이라는 지적도 제기된다. 플랫폼 기업으로서 디지털 경쟁력에 대한 의구심으로 이어질 수 있어서다. “‘이런 데까지 신경 쓰네?’라는 고객 반응이 나올 정도로 사소해 보이는 영역까지 세심하게 신경 써야 한다“던 황 사장의 주문대로 다양한 유형의 사이버 공격에 대응할 역량을 내재화하는 데에서 나아가 통신장비 고도화 등이 진행돼야 한다. 또다른 통신업계 관계자는 데일리임팩트에 “경쟁사들이 쓰지 않는 회사의 장비를 쓰는 것을 두고 보안상 문제를 걱정하는 시선이 있었다“며 “결과적으로 공격에 취약하다는 게 드러났으니 이런 부분까지 고려해 투자를 단행할 필요가 있어 보인다“고 말했다.