'고개 숙인' LG유플러스 "1000억 원 투자…보안 가장 강한 회사로"
김윤경 IT전문기자
yoon@kpinews.kr | 2023-02-16 16:20:05
전사정보보호·개인정보보호책임자 CEO 직속으로
영역별 보안 전문가 영입해 역량 강화
정부 조사 끝나는대로 피해보상안 공개
고객 정보 유출과 인터넷망 장애로 불편을 초래한 LG유플러스가 정보 보안에 대한 대응이 미흡했다는 점을 공식 사과했다.
황현식 LG유플러스 대표는 16일 용산사옥에서 개최한 기자간담회에서 사과문을 발표하고 "정보유출과 인터넷 서비스 오류로 불편을 겪은 고객분들께 진심으로 사과드린다"고 말했다.
황 대표는 "이번 사고는 중대한 사안으로, 모든 사업의 출발점은 고객이라는 점을 되새겨 고객관점에서 기본부터 다시 점검하겠다"고 밝혔다.
LG유플러스는 그동안 정보 보안에 대한 투자가 부족했다는 점을 인정하고 현재 3배 수준인 1000억원 규모로 관련 예산도 늘리기로 했다.
또 전사정보보호(CISO)와 개인정보보호책임자(CPO)는 CEO 직속 조직으로 강화하고 각 영역별 보안 전문가를 영입해 역량을 강화할 계획이다.
황 대표는 "국내 최고 수준으로 보안 시스템을 고도화한다는 목표로 서둘러 보안 장비와 시스템에 투자를 집행하겠다"고도 했다.
그러면서 "정부 및 전문가들의 조사 결과를 토대로 보안을 강화하는 과정에서 추가 투입할 가능성도 높다"면서 "앞으로는 대표가 직접 보안을 챙기도록 하겠다"고 말했다.
1월1일 시작한 사고, 아직도 대응은 '진행 중'
이번 사고는 지난 1월 1일 해커가 'LG유플러스 고객의 개인정보 60만 건을 확보해 판매한다'는 내용으로 메신저 '텔레그램'과 텐센트 클라우드 등에 게시글을 올리며 외부에 공개됐다.
LG유플러스는 이후 1월 29일과 2월 4일 이틀 동안 총 5회의 디도스 공격을 막아내지 못해 결국 인터넷 접속 오류 사고까지 냈다.
LG유플러스가 현재까지 확인한 개인 정보 유출 건수는 29만 건이다. 해커가 밝힌 60만 건에서 중복 및 오류 데이터들을 걸러낸 수치다.
LG유플러스는 텐센트 클라우드 등에 게시된 글은 모두 삭제하고 텔레그램에서 진행 중인 데이터 판매행위는 정부 대책반과 함께 지속적으로 모니터링 중이다.
이상엽 전무(CTO)는 "1월 1일 사고가 발생하자마자 바로 대응에 들어갔고 정부에도 신고했다"고 밝혔다.
이어 "2월 5일까지 디도스 공격에 대한 장비 보완과 차단 조치를 완료했고 더이상의 피해는 발생하지 않고 있다"면서 "고객 정보 유출 건에 대해 매우 심각하게 인지하고 현재도 대응을 지속하고 있다"고 설명했다.
피해지원협의체 구성해 종합 피해지원안 마련
LG유플러스는 피해자들에 대한 보상은 정부 조사가 끝나는대로 구체안을 마련해 공개할 방침이다.
이를 위해 학계, 법조계, NGO 등으로 구성된 피해지원협의체를 구성하고 고객의 피해 상황을 파악하고 유형을 고려한 종합 피해지원안을 마련하기로 했다. 고객 피해를 최소화하기 위해 '피해신고센터'도 운영한다.
권준혁 부사장(네트워크부문장)은 "피해를 입은 개인과 소상공인, 기업들에 대한 피해보상은 정부 조사가 끝나고 세부안을 완성해 공개하겠다"고 밝혔다.
피해 보상 대상은 개인정보가 유출된 29만 명은 물론 전체 고객으로 확대한다는 입장이다.
정수헌 부사장(컨슈머부문장)은 "개인 정보 유출을 우려하는 고객이 희망하면 무료로 유심(USIM)을 교체해 주는 방안도 검토 중"이라고 말했다.
"뼈를 깍는 성찰로"…'사이버 안전혁신안' 마련
LG유플러스는 이날 개인정보보호와 디도스(DDoS) 등 사이버 공격에 대응하고 보안과 품질 등 기본을 강화하는 '사이버 안전혁신안'도 발표했다.
사이버 안전혁신안은 △정보보호 조직·인력·투자 확대 △외부 보안전문가와 취약점 사전점검·모의 해킹 △선진화된 보안기술 적용 및 미래보안기술 연구·투자 △사이버 보안 전문인력 육성 △사이버 보안 혁신 활동 보고서 발간 등으로 구성된다.
LG유플러스는 인공지능(AI)을 활용한 보안위협 분석·대응체계를 인프라에 적용할 예정이다.
또 공격자가 내부에 있다는 전제로 보안수준 강화방안을 마련하는 '제로 트러스트 아키텍처(Zero Trust Architecture)' 기반 기술로 전사적인 보안수준을 향상시킬 계획이다.
이와 함께 세계 최고 수준의 화이트해킹 대회, 침투방어훈련을 수행하며 보안 취약점을 점검한다는 구상이다.
LG유플러스는 매년 '사이버 안전혁신 보고서'를 발간하고 사이버 위협 대응 활동과 신기술, 조직·인력, 투자 현황에 대해 투명하게 공개할 예정이다.
황 대표는 "뼈를 깎는 성찰로 고객에게 더 깊은 신뢰를 주는, 보안과 품질에 가장 강한 회사로 거듭나겠다"며 "고객 여러분께 다시 한번 진심으로 사과 드린다"고 말했다.
KPI뉴스 / 김윤경 기자 yoon@kpinews.kr
[ⓒ KPI뉴스. 무단전재-재배포 금지]