데일리임팩트

[데일리임팩트 황재희 기자] "보안은 통신산업의 근간인데 국민 여러분께 실망을 드려 사과드린다. 앞으로 고객 관점에서 기본부터 점검해나가겠다."

황현식 LG유플러스 사장이 깊이 고개 숙였다. 연초부터 연달아 개인정보 유출, 인터넷 서비스 장애가 발생한 책임을 통감한다는 제스처였다. 

관계기관의 조사가 진행되고 있지만, 잇따른 사고로 브랜드 이미지가 실추된 상황. 특히 사고 발생 이후 뒷북 대처로 여론은 여전히 냉랭하다. 이에 수장의 공개 사과, 사이버 안전혁신안 발표를 통해 사태 수습에 적극 나선 모습이다. 

"디도스 공격 막느나 사과 늦어져"

16일 황현식 사장은 용산 사옥에서 열린 기자간담회에서 "정보 유출 사고로 인해 그동안 고객, 국회, 정부로부터 많은 질책을 받았다"며 공개 사과 했다. 

한국인터넷진흥원(KISA)은 지난달 1일 불법 정보거래 사이트를 통해 LG유플러스 가입자 정보를 판매하겠다는 해커의 글이 올라온 것을 확인하고 이를 회사에 알렸다. 했다.

현재까지 파악된 피해 규모는 59만명으로, 29만명에게 개별 고지가 끝났다. 금융 정보만 빠졌을 뿐 성명, 생년월일, 전화번호, 가입자 고유식별번호(IMSI), 단말기 고유식별번호(IMEI) 등 민감정보 대부분이 유츨됐다. 

설상가상으로 지난달 29일부터 이달 4일까지 5차례 디도스 공격을 받아 인터넷 서비스 장애가 빚어졌다. 

LG유플러스는 '현재까지 추가로 파악된 유출 정보는 없다'는 점을 강조하고 있지만 여론은 좋지 않다. 최초 유출 경로로 파악하지 못했고, 피해 규모도 계속 늘어나고 있어서다. 당초 LG유플러스는 18만명이라고 했다가 29만명으로 정정했고, 이날 59만명이라고 수정했다. 처음 밝힌 것보다 3배 이상 증가한 것이다. 더욱이 유출 피해자 가운데 스팸 또는 스미싱 시도가 있었다는 주장이 나오고 있어 2차 피해의 우려도 배제할 수 없게 됐다. 

그럼에도 LG유플러스는 개인정보 유출을 최초로 인지한 지 한 달이 지나서야 공개사과를 결정했다. 앞서 과학기술정보통신부가 경영진에게 강하게 경고하고, 특별조사점검단을 꾸리기로 한 것과 무관치 않다는 지적이 나온다. 

황 사장은 이를 의식한 듯 "상황이 명확하지 않고 (조사가) 종료되지 못해 그동안 사과를 못했다"며 "디도스 공격을 막아내는 데 총력을 기울이다 보니 늦어졌다"고 해명했다. 

"보안 역량 내재화에 총력" 약속

이날 황 사장은 전사 차원에서 재발 방지에 만전을 기하겠다고 약속했다. 그는 "현재 관계기관을 통해 사이버 침해 예방과 보안 정책 등을 심층 점검하고 있으며 개선 필요 사항은 확실히 조치하겠다"면서 "이를 계기로 LG유플러스는 전면적으로 보안 정책을 재점검하고 보안과 네트워크 분야에 더 많은 인력과 비용을 투자하겠다"고 밝혔다. 

피해자 지원을 위해 학계, 법조계, 시민단체 등과 피해지원협의체를 구성해 고객별 유형을 반영해 '체감할 수 있는' 대책을 마현한다. 피해산고센터를 통해 사례를 접수받고 분야별 전담반을 통해 대책을 실행해 나간다. 별도로 모든 가입자에게 유심 무상교체, U+스팸전화알림 서비스 무료 제공을 준비하고 있다. 

전사정보보호·개인정보보호책임자(CISO·CPO)를 최고경영자(CEO)가 직접 총괄하고 영역별 보안 전문가를 영입한다. 외부 전문가들로 구성된 자문기관인 정보보호위원회에서 보안기술과 관리 체계를 점검하고 세계 최고 수준의 화이트 해킹 대회, 침투 방어훈련을 실시해 취약점을 보완해 나간다.

특히 정보보안 투자를 현재의 3배 수준인 1000억원으로 높여 국내 최고 수준의 보안체계를 갖춘 기업으로 탈바꿈하겠다는 각오다. 황 사장은 "피해 보상과 보안부문 1000억원 투자는 별개의 비용"이라며 "1000억원은 당장 올해부터 투입하는 비용과 2~3년안에 미래 준비를 위한 투자까지 감안해 추산했다"고 밝혔다. 이어 "관계기관과의 합동조사, 권고사항에 따라서 더 늘어나면 늘어났지 더 적어지지는 않을 것"이라고 강조했다.  

최신 보안기술 내재화에도 나선다. 인공지능(AI) 기반 보안체계를 도입하고, 공격자가 내부에 있다는 전제로 하는 제로 트러스트 아키텍처에 기반한 최신 기술을 적용한다. 양자내성암호(PQC) 기술 개발, 보안 전문기업 지분투자·인수합병(M&A)도 추진한다. 

아울러 자체 사이버 보안 전문인력을 키운다. 국내 보안관련 대학·대학원·연구소와 인력양성 협약을 맺고, 보안 관련 학과·과정을 연계한 전문인력 육성·채용을 추진한다.

LG유플러스의 사이버 안전혁신은 매년 보고서를 통헤 상세하게 공개된다. 황 사장은 대표는 "사후 대책에서 나아가 근본적인 해결책을 고민했는데, (정보보안) 진척사항은 CEO인 제가 직접 챙기겠다"면서 "이번일을 계기로 LG유플러스는 고객이 안심할 수 있도록 보안품질에 강한 회사로 탈바꿈하겠다"고 거듭 약속했다. 

그러면서 "네트워크와 정보보안은 통신산업의 근간이고, 고객의 신뢰로 이어지는 부분"이라며 "소홀한 부분을 점검하는 기회로 삼겠다. 뼈를 깍는 성찰로 고객에게 신뢰를 줄 수 있도록 보안 품질 강화에 노력하겠다"고 했다.