국내 대표 이동통신사 LG유플러스가 구설수에 올랐다. 18만명에 달하는 고객 개인정보가 유출된 탓이다. 정확한 사건 발생 시점과 유출 경로는 밝혀지지 않았지만 외부 해킹이 유력한 원인으로 점쳐지고 있다. LG유플러스가 유출 사실을 인지하기 전, 이미 다크웹에서 사용자 정보가 판매되고 있었기 때문이다.

LG유플러스가 한국인터넷진흥원(KISA)에 뒤늦게 신고를 접수한 배경을 두고도 관심이 쏠리고 있다. 그러나 이는 KISA가 LG유플러스에 침해사고 유무를 확실히 한 후 다시 신고해달라는 요청이 있었던 것으로 나타났다.

다만 LG유플러스가 유출 사실을 까맣게 몰랐을 뿐만 아니라, 타사 대비 정보보호에 대한 투자가 미흡하다는 점, 동일한 사건이 과거에도 있었다는 점에서 비판을 피하기는 어려울 것으로 보인다.

KISA 신고 왜 늦어졌나?

12일 보안업계에 따르면 지난 1일, 다크웹에는 LG유플러스 고객 정보를 판매한다는 글이 업로드됐다. 판매자는 보유 중인 데이터가 2000만건 이상이라고 밝혔다. 여기에는 생년월일과 전화번호, 이메일 주소, 휴대폰 모델명, 유심번호 등이 포함된 것으로 알려졌다.

이튿날인 2일 KISA는 제보를 통해 해당 사실을 인지한 후 LG유플러스 측에 이를 알렸다. 이후 지난 3일 LG유플러스는 다크웹에 올라온 데이터가 자사 것이 맞는지 확인 작업에 착수함과 동시에 경찰청 사이버수사대, KISA, 개인정보보호위원회 등 유관기관에 신고했다고 밝혔다.

문제가 된 부분은 KISA에 대한 신고다. KISA에 따르면 LG유플러스가 정식 신고를 접수한 날은 홈페이지 공지사항을 통해 개인정보 유출 사실을 알린 지난 10일이다. 당초 LG유플러스가 신고를 접수했다고 밝힌 지난 3일보다 일주일이 늦은 시점이다.

앞서 KISA는 LG유플러스가 10일 오후 6시 25분께 신고를 접수했다고 설명했다. 당시 KISA 관계자는 "3일 LG유플러스가 피해 상황이 의심된다는 말을 전해오긴 했지만 정식신고를 접수한 것은 아니었다"며 "당시에는 정확한 피해 상황이 파악되지 않아 상황을 공유하는 정도였다"고 말했다.

그러나 이는 KISA 측에서 침해사고로 인한 개인정보 유출이 맞는지 유무를 확실히 해달라는 요청에 의한 조치였던 것으로 확인됐다. KISA는 민간에서 발생한 보안 침해사고를 주로 담당하기 때문에 신고 접수에 앞서 명확한 사실관계를 파악해줄 것을 요구한 것이다. 

이에 LG유플러스는 지난 3일부터 7일간 외부 해킹으로 인한 침해사고가 맞는지, 다크웹에 올라온 데이터가 자사 고객 것이 맞는지 등을 종합적으로 판단해 지난 10일 다시 신고를 접수했다.

LG유플러스가 '늑장 신고'를 하지는 않았다는 의미다. 실제로 개인정보보호위원회는 LG유플러스가 지난 3일과 5일, 9일 등 세차례에 걸쳐 신고를 접수했다고 밝혔다. 개보위 관계자는 "LG유플러스 최초 신고 시점은 지난 3일이며, 유출과 관련된 추가적 사실이 나온 5일과 9일에도 신고를 접수했다"고 설명했다.

과거 교훈 잊은 LG유플러스

개인정보 유출에 대한 신고 의무를 충실히 수행했다는 점은 다행이지만 LG유플러스가 비판을 피하기는 어려울 것으로 보인다. 

특히 LG유플러스가 어떤 경로로 데이터가 유출됐는지, 시점은 언제인지 등 관련 상황에 대한 파악이 전혀 없다는 점이 문제라는 지적이 나온다. 이는 과거 동일한 사고를 겪었음에도 적절한 조치가 취해지지 않았다는 의미라는 것.

지난 2021년 12월 LG유플러스 직원 데이터 3만여건이 유출된 바 있다. 눈 여겨볼 점은 당시에도 다크웹에서 유출된 정보가 판매되고 있었다는 사실이다. 이로 인해 LG유플러스는 지난해 9월 개보위로부터 과태료 600만원 처분을 받기도 했다.

타 경쟁사 대비 정보보호에 대한 투자가 유독 적다는 대목도 비판의 대상이다. 정보보호산업진흥포털 '정보보호 공시'에 따르면 LG유플러스는 지난 2019년부터 2021년까지 총 734억원을 정보보호에 투자했다. 같은 기간 SK텔레콤과 SK브로드밴드는 2263억원, KT는 2981억원을 투자해왔다. 경쟁사의 절반에도 미치지 못하는 금액이다.

정보보호 전담 인력도 가장 적다. 지난 2021년 12월 31일 기준 LG유플러스 내 정보보호 부문 전담인력은 총 91.2명이다. 이는 전체 임직원인 1만477명 대비 3.9% 수준이다. 같은 기간 SK텔레콤 정보보호 전담인력은 1961명(7.8%), KT는 335.8명(6.6%)이다. 

유출 사실을 고객에 알린 시점이 늦었다는 점도 문제다. 개인정보보호법 39조의4에 따르면 정보통신서비스 제공자는 개인정보 유출 사실을 인지한 즉시 ▲유출된 개인정보 항목 ▲발생 시점 ▲이용자가 취할 수 있는 조치 ▲정보통신서비스 제공자 대응조치 ▲이용자가 상담 등을 접수할 수 있는 부서 및 연락처 등을 정보 주체들에게 알려야 한다. 또한 정당한 사유없이 사건을 인지한 시점으로부터 24시간이 경과해 통지해서는 안된다.

LG유플러스의 경우 사건을 인지한 건 지난 2일 반면, 사실을 공개한 시점은 지난 10일로 일주일 간의 격차가 있다. 이에 대해 LG유플러스 관계자는 "불명확한 데이터를 확인하고, 고객을 특정하는데 시간이 걸렸다"고 설명한 바 있다. 향후 개보위는 이에 대한 조사도 진행할 예정이다.

한편 과기정통부와 KISA, 개보위는 이날 서울 마포구 상암동에 위치한 LG유플러스 데이터센터 현장조사에 나섰다. 고객 정보 관리 과정 문제점, 해킹 시도 흔적, 정확한 유출 규모 등이 주요 조사 항목이다.

LG유플러스 측은 "수사기관 및 정부기관에 신고하고 조사에 적극 협조하고 있으며, 모니터링 시스템을 강화하고 있다"며 관련 기관 조사결과에 따라 재발 방지 대책을 마련할 예정"이라고 말했다.

김가은 기자 7rsilver@techm.kr