"정보유출과 인터넷 서비스 오류로 불편을 겪은 고객 분들께 진심으로 머리 숙여 사과드린다. 뼈를 깎는 성찰로 보안체계를 국내 최고 수준으로 강화하고, 신뢰를 주는 회사로 거듭나겠다"

16일 황현식 LG유플러스 대표는 서울 용산사옥에서 열린 기자간담회에서 이같이 말하며 최근 발생한 개인정보유출, 분산서비스거부(디도스) 공격으로 인한 장애 사태에 대해 고개를 숙였다.

이날 LG유플러스는 '사이버 안전혁신안'을 발표하고 기존 대비 보안 투자를 3배 규모로 확대하겠다고 강조했다.

황현식 대표 "보안 관련 사항 직접 챙기겠다"

황 대표는 앞서 발생한 개인정보유출과 디도스 공격으로 인한 인터넷 접속 장애에 대해 사과의 뜻을 표명했다. 그는 "이번 사고는 중대한 사고"라며 "보안 체계는 통신 산업의 근간임에도 불구하고 이 부분에 집중하지 못했다"고 말했다.

먼저 개인정보유출에 대해 그는 "지난 1월 2일 상황을 인지한 후 피해방지와 신속한 해결을 위해 관계기관에 신고했다"며 "유출원인과 경로 파악을 위해 최선의 노력을 다하고 있으며, 현재까지 추가 유출 정보는 없지만, 불안해하는 고객들을 위해 다양한 방안을 마련할 것"이라고 말했다.

디도스 공격에 대해서는 "사건 발생 직후 태스크포스(TF)를 구성했다"며 "전사에 걸쳐 비상 대응에 나서고 있다"고 설명했다. 이어 "현재도 디도스 공격이 이어지고 있으나 사전차단 및 트래픽 우회 등을 통해 방어체계를 강화해 추가 피해는 발생하고 있지 않다"고 강조했다.

보안 투자가 부족했다는 점도 인정했다. 황 대표는 "사이버 공격은 누구에게나 일어날 수 있다는 점에서 완벽한 체계를 구축해 탄탄한 방어력을 구축해야 하지만 부족했다"며 "사이버 침해 예방과 대응 보안 정책 등을 심층 점검하고 있으며, 개선이 필요한 상황에 대해서는 확실히 조치하겠다"고 힘줘 말했다.

관련 사항을 직접 챙기겠다는 의지도 드러냈다. 그는 "LG유플러스는 이번 일을 결코 잊지 않을 것"이라며 "네트워크와 정보보안이 통신 산업의 기본인 만큼, 관련 사항을 CEO인 제가 직접 챙기겠다"고 역설했다.

끝나지 않은 개인정보 유출, 디도스 공격

개인정보유출과 디도스 공격은 현재도 이어지고 있는 상황이다. 

개인정보유출의 경우 공격자가 보유 중이라고 밝힌 개인정보 데이터 규모는 3000만건에 달하는 반면, LG유플러스가 공식적으로 발표한 피해 사례는 29만건으로 다소 차이가 있다. 다만 LG유플러스는 공격자의 일방적 주장에 불과하다는 입장이다.

이상엽 LG유플러스 CTO는 "유출된 것으로 확인된 개인정보는 현재까지 29만건으로 파악했다"며 "분석 결과 가장 늦게 생성된 번호가 2018년 6월인 점을 봤을 때 최근 정보는 포함되지 않은 것으로 파악 중"이라고 말했다.

또 그는 "유출 항목은 전화번호, 성명, 주소, 이메일, 암호화된 패스워드 및 주민번호, 과거 단말 모델, 유심번호 등"이라며 "결제 관련 금융 정보는 포함돼있지 않다"고 설명했다. 이어 "정확한 유출 경로 등 세부 사항은 정부기관 조사가 진행 중이므로 추후 공유하고, 수사와 조사에 적극 협조하겠다"고 덧붙였다.

디도스의 경우 현재도 공격이 이어지고 있는 상황이다. 그러나 LG유플러스는 보안체계 강화를 통해 추가 공격을 모두 방어하고 있다고 강조했다. 권준혁 LG유플러스 네트워크 본부장은 "지난달 29일부터 4일까지 총 5차례 디도스 공격이 있었고, 이로 인해 인터넷 접속 오류가 발생했다"며 "5일 이후 현재까지 간헐적으로 공격이 지속되고 있으나, 피해없이 대응 중"이라고 설명했다.

또 그는 "기존 디도스는 대용량 트래픽에 기반한 공격인 반면, 금번 공격은 장비 간 연결신호를 활용해 통신망 장비를 공격한 사례라 최초 대응이 미흡했다"며 "주요 장비를 보강하고 전체로 보안 장비를 확대 적용해 지난 5일 모든 대비를 마무리했다"고 말했다. 

화웨이 장비를 사용한 영향으로 이번 사고가 발생했다는 논란에는 선을 그었다. 황 대표는 "이번에 발생한 사고와 화웨이 장비는 관련이 없는 것으로 파악 중"이라며 "글로벌 보안 업체들로부터 화웨이 장비에 대한 별도 점검을 받고 있는 만큼, 이번 사건과는 무관하다"고 말했다.

사이버 안전혁신안으로 사고 재발 막는다

LG유플러스는 향후 보안사고 재발을 방지하기 위한 방안으로 사이버 안전 혁신안을 제시했다. 주요 내용은 ▲정보보호 조직·인력·투자 확대 ▲외부 보안전문가와 취약점 사전점검·모의 해킹 ▲선진화된 보안기술 적용 및 미래보안기술 연구·투자 ▲사이버 보안 전문인력 육성 ▲사이버 보안 혁신 활동 보고서 발간 등이다.

먼저 LG유플러스는 전사정보보호·개인정보보호책임자(CISO·CPO)를 최고경영자(CEO) 직속 조직으로 두고, 각 영역별 보안 전문가를 영입해 역량을 강화할 계획이다. 또한 보안과 품질에 대한 투자를 강화하기 위해 단기간 내 연간 정보보호 투자액을 현재 3배 수준인 1000억원으로 확대할 예정이다.

외부 보안전문가 의견을 적극 수렴, 보안 안정성도 제고한다. 보안컨설팅기업과 전문기관, 학계에 종사하는 외부 전문가들로 구성된 정보보호위원회를 운영한다는 계획이다. 이를 통해 보안기술과 관리체계를 점검한다. 또 화이트해킹 대회, 침투방어훈련을 수행하며 보안 취약점을 점검한다는 방침이다.

미래 보안기술에 대한 연구와 투자도 확대한다. 인공지능(AI)을 활용한 보안위협 분석·대응체계를 인프라에 적용하고, '제로 트러스트 아키텍처(Zero Trust Architecture)'에 기반한 최신 기술로 전사적 보안수준을 향상시킬 계획이다. 또한 양자내성암호(PQC) 기술개발과 보안 전문성을 갖춘 기업에 지분투자·인수합병(M&A)을 적극 추진해 미래 보안기술 분야를 선도한다는 구상이다.

사이버 보안 전문인력 양성에도 힘쓴다. 국내 보안관련 대학(원), 연구소와 인력양성 협약을 맺고 보안 관련 학과·과정을 연계한 전문인력 육성 및 채용 추진에 나선다.

끝으로 LG유플러스는 이같은 사이버 보안 혁신활동을 담은 '사이버 안전혁신 보고서'를 매년 발간할 예정이다. 사이버 위협에 대응하는 주요 활동과 신기술, 조직·인력 강화, 투자 현황에 대해 투명하고 상세하게 공개한다.

현재 LG유플러스는 개인정보유출로 인한 불안감을 해소하기 위해 피해고객에 한정하지 않고 모든 고객을 대상으로 유심(USIM) 무상교체를 계획하고 있다. 뿐만 아니라  '유플러스 스팸전화알림' 서비스 무료 제공도 준비 중이다.

이와 함께 LG유플러스는 학계, 법조계, NGO 등과 함께 피해지원협의체를 구성하고 이를 통해 고객별 유형을 고려한 '종합 피해지원안'을 마련할 예정이다. 먼저 피해지원안 일환으로 '피해신고센터'를 운영해 고객 피해를 최소화할 수 있도록 조치한다. 또한 사고 원인 파악과 개선사항 이행 등을 분야별 전담반을 통해 실천해 나갈 계획이다.

황 대표는 "기본을 더욱 굳건히 하겠다"며 "저를 비롯해 LG유플러스 임직원 모두 각자의 자리에서 놓치고 있거나 소홀한 부분은 없는지 매순간 경계하면 다시한번 정비하겠다"고 말했다.

김가은 기자 7rsilver@techm.kr