무선

LGU+ ‘대국민 사과’…보안투자 확대하고 고객신뢰 회복(종합)

권하영


[디지털데일리 권하영 기자] LG유플러스가 최근 일어난 고객 개인정보 유출 및 디도스(DDoS)로 인한 인터넷 장애 사태에 대해 1000억원 규모 보안 투자 확대 및 적극적인 이용자 피해 보상을 약속했다. 개인정보 유출 경로와 디도스 원인에 대해선 조사 중이라며 말을 아꼈지만, 결과가 나오는 대로 투명하게 공개하겠다는 뜻도 전했다.

◆ 황현식 대표 “뼈를 깎는 성찰로 더 깊은 신뢰 드리겠다”

LG유플러스는 16일 서울 용산구 본사에서 기자간담회를 열어 그간 발생한 고객정보 유출과 디도스 공격으로 인한 인터넷 서비스 오류에 대해 사과하고, 개선방안으로 ‘사이버 안전혁신안’을 발표했다.

황현식 LG유플러스 대표는 “정보 유출로 불안해 하시는 고객들과 인터넷 서비스 오류로 혼란을 겪으신 소상공인 여러분, 그동안 깊은 사랑과 믿음을 보내주신 국민 여러분께 이 자리를 빌려 진심으로 사과드린다”며 “뼈를 깎는 성찰로 더 깊은 신뢰를 주는, 보안에 있어 가장 강한 회사로 거듭나겠다”고 고개를 숙였다.

앞서 LG유플러스는 지난달 대규모 고객 정보가 유출됐음을 알린 바 있다. 올 1월 불법 판매자로부터 약 29만명의 개인정보가 포함된 데이터를 입수했고, 이 중 약 18만명이 당사 고객으로 확인돼 홈페이지에 공지하고 유출항목 조회 시스템을 제공하고 있다.

엎친 데 덮친 격으로, LG유플러스는 지난달 29일과 이달 4일 각 다섯 차례에 걸쳐 디도스 공격을 받았다. 이로 인해 인터넷 접속 장애가 일어났고, 카드 결제 불발 등 개인 이용자들의 불편은 물론 PC방 등 일부 소상공인들도 경제적 피해를 입었다.

이상엽 LG유플러스 최고기술책임자(CTO)는 “현재 개인정보 유출 경로를 파악 중으로, 유출 데이터 기반 일치율 높은 시스템으로 전문 조사 업체를 통한 디지털포렌식 수사도 병행 중이다”라며 “가능한 모든 시나리오를 놓고 조사 중이지만, 현재 조사 진행 중이어서 나중에 결과 나오면 함께 공유하겠다”고 밝혔다.

디도스 공격의 경우 1월29일 LG유플러스 망에 대규모 디도스 공격이 있었고 이후 공격 대상 및 유형을 변경하며 공격을 지속하고 있다는 설명이다. 기존 디도스 공격의 경우 대용량 트래픽을 활용한 가입자 공격이었는데, 이번 공격은 장비간 연결 신호를 활용해 통신망 장비를 공격한 사례였다. LG유플러스는 대용량 트래픽 공격에 대한 방어체계를 운영하고 있었지만, 통신망 장비로의 공격에 대한 방어체계는 다소 미흡했음을 인정했다.

권준혁 LG유플러스 네트워크부문장은 “1월29일 이후 주요 장비부터 공격방어체계를 보강하기 시작했고, 전체 장비를 2월5일 완료해 현재까지 서비스 영향 없이 대응 중에 있다”고 밝혔다.


◆ 정보보호 투자 1000억원으로 확대·피해 보상안도 마련

회사는 이날 ‘사이버 안전혁신안’도 발표했다. ▲정보보호 조직·인력·투자 확대 ▲외부 보안전문가와 취약점 사전점검·모의 해킹 ▲선진화된 보안기술 적용 및 미래보안기술 연구·투자 ▲사이버보안 전문인력 육성 ▲사이버보안 혁신 활동 보고서 발간 등이다.

먼저, LG유플러스는 전사정보보호·개인정보보호책임자(CISO·CPO)를 CEO 직속 조직으로 강화하고, 각 영역별 보안 전문가를 영입해 역량을 강화할 계획이다. 또한 LG유플러스는 보안과 품질에 대한 투자를 강화하기 위해 단기간 내 연간 정보보호 투자액을 현재의 3배 수준인 1000억원으로 확대할 방침을 밝혔다.

또한 보안컨설팅기업과 전문기관, 학계에 종사하는 외부 전문가들로 구성된 정보보호위원회를 운영하기로 했다. 양자내성암호(PQC) 기술개발과 보안 전문성을 갖춘 기업에 지분투자·M&A도 적극 추진한다. 전사적인 사이버 보안 강화 활동과 함께 사이버 보안 전문인력 양성에도 힘쓴다.

미래 보안기술에 대한 연구와 투자에도 노력한다. 인공지능(AI)을 활용한 보안위협 분석·대응체계를 인프라에 적용하고, 공격자가 내부에 있다는 전제로 보안수준 강화방안을 마련하는 ‘제로 트러스트 아키텍처(Zero Trust Architecture)’에 기반한 최신 기술로 전사적인 보안수준을 향상시킬 계획이다.

피해 보상에도 적극 나선다. LG유플러스는 개인정보유출로 인한 불안감을 해소하기 위해 피해고객에 한정하지 않고 모든 고객을 대상으로 USIM 무상교체를 계획하고 있으며, ‘U+스팸전화알림’ 서비스 무료 제공을 준비 중이다.

이와 함께 LG유플러스는 학계, 법조계, NGO 등과 함께 피해지원협의체를 구성해 고객별 유형을 고려한 ‘종합 피해지원안’을 마련할 예정이다. 우선 피해지원안의 일환으로 ‘피해신고센터’를 운영해 고객의 피해를 최소화할 수 있도록 지원한다. 또한 사고의 원인 파악과 개선사항 이행 등을 분야별 전담반을 통해 실천해 나갈 계획이다.

황현식 대표는 “피해 보상과 1000억원 투자는 별개다”라며 “투자는 당장 올해부터 대폭 늘려서 하도록 할 것이고, 관계기관 합동조사나 권고사항에 따라 더 늘어나면 늘어나지 더 적게 들어가진 않을 것”이라고 밝혔다. 구체적 내용은 추후 상세 수립되는 대로 공개하겠다는 전언이다.

한편, 이날 LG유플러스는 자사 홈페이지를 통해 공식 사과문을 띄웠다.

권하영
kwonhy@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널