침해사고/위협동향

LG유플러스 데이터 또 유출됐나··· 해커 “사용자 데이터 2000만건 판매”

이종현
[디지털데일리 이종현기자] 새해 벽두부터 좋지 않은 소식이다. 해킹포럼에 LG의 사용자 정보 데이터를 판매한다는 게시글이 업로드됐다. 판매자는 데이터 규모를 2000만건 이상이라고 말한다. 샘플 데이터도 공개했는데, 생년월일과 전화번호, 이메일주소, 휴대폰 모델명 등이 포함됐다. LG유플러스의 데이터로 추정되는 상황이다.

<디지털데일리>는 해킹포럼에 LG 계열사의 데이터 일부가 공개된 정황을 확인했다. 샘플 데이터를 공개한 판매글 게시자(이하 판매자)는 모든 LG 사용자 데이터라고 전했다. 데이터 규모가 2000만명 이상이라는 설명이다.

판매자는 1월 1일 판매글을 게시했다. 유출 데이터는 생년월일, 전화번호, 휴대폰 모델명, 이메일주소 등이다. 판매자는 맥(Mac) 어드레스, IMEI 등도 포함돼 있다고 말한다.

휴대폰 모델명, 맥 어드레스, IMEI 등 정보는 일반 기업이 파악하기 어려운 정보다. 통신사업자가 보유한 데이터라는 의심 하에 판매자와 접촉한 결과 판매자는 LG전자의 인터넷주소(URL)를 공유하며 해당 기업이라고 말했다.

이에 혹시 통신사업자의 데이터 아니냐는 질의에 “맞다, 이것은 통신(Telecom) 데이터”라고 답했는데, 해외 국적의 판매자가 LG전자와 LG유플러스의 차이를 인지하지 못한 것으로 추정된다. 또 판매자 보낸 LG전자 URL이 영국(UK) 웹사이트로 보아, 영국에 있거나 영국 IP를 활용 중인 것으로 예상된다.
1월 1일 게시된 판매글. 2000만건 이상의 LG 데이터를 판매한다고 말하고 있다. 3일 현재 판매글은 삭제된 상태다
1월 1일 게시된 판매글. 2000만건 이상의 LG 데이터를 판매한다고 말하고 있다. 3일 현재 판매글은 삭제된 상태다

판매자는 2000만건의 데이터를 6비트코인(BTC)에 판매하겠다고 한다. 3일 오전 9시 기준 1BTC는 2120만원 상당이다. 6BTC는 약 1억2720만원이다. 실제 보유한 데이터가 2000만건이라면 1건당 6원가량에 거래되는 꼴이다.

판매자가 업로드한 데이터가 실제 유출 데이터인지는 불명확하다. 판매 게시글이 업로드된 해킹포럼은 과거 판매 이력 등을 통해 해당 판매자의 신뢰도를 판별할 수 있는데, 이번에 게시글을 올린 이는 작년 12월30일 가입한 새내기다. 과거 판매 이력도 찾아볼 수 없다.

또 최초 해당 데이터가 최초로 유포된 것인지도 알 수 없다. 샘플 데이터에는 가입일자 따위로 추정되는 내용도 포함돼 있는데, 여기에는 2018년 6월경이 최신이다. 과거 유출된 데이터를 재유포하는 것일 수도 있다.

다만 실제 유출 데이터가 맞다면 그 피해는 결코 적지 않을 전망이다. LG유플러스는 국내 3대 이동통신사업자 중 한 곳이다. 판매자가 데이터 2000만개 이상을 보유했다고 주장하는데, LG유플러스의 3분기 기준 모바일 누적 가입자 수가 약 1947만명이다. 모든 고객 데이터가 유출됐다면 그 수는 얼추 맞다.

과거 유출됐던 데이터라고 하더라도 가벼운 일이 아니다. 2000만명의 생년월일, 휴대전화번호 등이 끊임없이 재유포되고 있다는 뜻이기 때문이다. 이들 모두가 휴대전화번호를 변경하지 않은 이상 피싱 등 피해에 노출될 수 있다.

더욱이 판매자는 기자에게 “매월 업데이트 데이터에 액세스할 수 있다”고 피력했다. 단순한 데이터베이스(DB) 유출이 아닐 수도 있다는 의미인데, 블러핑(Bluffing)일 가능성도 배제할 수 없다.

샘플로 올린 데이터에 생년월일, 전화번호 등 개인정보가 포함돼 있는 만큼 진위여부 파악 및 대응을 위해 한국인터넷진흥원(KISA), 개인정보보호위원회에 신고해둔 상태다. 샘플로 유출된 데이터가 있는 만큼 실제 데이터인지는 어렵지 않게 판별할 수 있을 전망이다. KISA 측은 “현재 LG에 전달해 확인 중”이라고 말했다.

판매자는 1일 판매글을 게시 뒤 취재가 시작되자 3일 현재 돌연 글을 삭제한 상태다. 신고 후 기업 측에서 대응에 나선 탓에 삭제된 것인지는 판단하기 어렵다.
2022년 9월 개인정보보호위원회 의결서 내용 중 일부. LG유플러스는 2021년 12월 LG유플러스는 앞서 개인정보유출을 겪은 바 있다. 당시 <디지털데일리>가 최초 보도한 뒤 조사가 이뤄졌다.
2022년 9월 개인정보보호위원회 의결서 내용 중 일부. LG유플러스는 2021년 12월 LG유플러스는 앞서 개인정보유출을 겪은 바 있다. 당시 <디지털데일리>가 최초 보도한 뒤 조사가 이뤄졌다.

한편 공교롭게도 LG유플러스는 2021년 12월, 해당 해킹포럼의 전신인 웹사이트에서도 직원 데이터 유출을 겪은 바 있다. 당시 <디지털데일리>가 단독으로 보도했는데, 해당 유출은 사실로 판명났다. 그로 인해 LG유플러스는 2022년 9월 개인정보보호위원회로부터 과태료를 부과받기도 했다.

이동통신 3사 중 유독 LG유플러스의 피해가 이어지는 가운데, 정보기술(IT) 및 정보보호에 대한 투자가 적기 때문 아니냐는 지적도 제기된다. 지난 3년간 SK텔레콤과 KT는 매출액 대비 정보보호에 0.5%가량을 투자한 반면 LG유플러스는 그 절반에도 못 미치는 0.2% 수준만 투자했다.
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널