시사위크=조윤찬 기자 LG유플러스가 개인정보유출사고에 이어 잇단 디도스 공격으로 혼란스러운 상황에 놓였다. LG유플러스의 사이버 침해 대응체계가 도마 위에 오른 가운데 정부는 LG유플러스에 대해 특별조사를 실시할 방침이다.
◇ 잇단 디도스 공격에 몸살
LG유플러스에 대한 디도스(DDoS, 분산 서비스 거부) 공격이 최근 잇따라 이뤄졌다. 과학기술정보통신부와 LG유플러스에 따르면, 지난달 29일에 이어 지난 4일에도 디도스로 추정되는 대용량 트래픽이 발생해 LG유플러스 이용자들이 인터넷에 접속하지 못하는 불편을 겪었다.
이에 LG유플러스 측은 CEO를 중심으로 주요 경영진이 참여하는 위기대응 상황실을 구성했다고 5일 밝혔다. LG유플러스는 디도스 공격이 발생하면 트래픽 우회 조치 등을 통해 복구하고 있다. LG유플러스 관계자는 “전사 위기관리 TF를 중심으로 한 대응체계를 통해 디도스 공격에 대한 사전예방 및 대응조치를 수행할 계획”이라고 말했다.
연이어 피해가 잇따르자 과기정통부와 한국인터넷진흥원은 기존 LG유플러스 ‘민관합동조사단’을 ‘특별조사점검단’으로 개편한다고 밝혔다. 민관합동조사단은 LG유플러스의 고객 정보가 유출된 사건을 조사하기 위해 지난달 10일부터 운영됐다.
과기정통부는 국내 보안 전문가로 특별조사점검단을 구성해 LG유플러스의 사이버 침해 예방 및 대응, 보안정책 등 전반적인 정보보호 대응체계를 점검할 방침이다.
과기정통부 측은 “디도스 공격에 연달아 인터넷 접속 장애가 발생해 기본적인 침해 대응체계가 미흡한 것에 대해 LG유플러스 경영진에게 강력히 경고하겠다”는 입장이다. 아울러 정보통신사업자의 침해사고 대응체계를 개편하기 위해 법령 개정을 포함한 제도개선을 추진한다.
과기정통부 관계자는 ‘정보통신망법’을 개정하는 방법을 고려하고 있다고 설명했다. 과기정통부 관계자는 <시사위크>와의 전화통화에서 “현재 침해사고 관련 망법에 따라 신고를 받아서 대응하고 있다. 그러나 단순하게 신고 받아서 저희가 대응하는 것은 충분하지 않다”고 말했다. 법 제도 개선에 대해선 “ISMS 인증이나 ‘정보통신기반 보호법’에 따른 기반 보호시설 등이 분산돼 법이 운영되고 있다. 이러한 내용을 하나로 아우를 수 있는 방안을 장기적으로 검토할 방침”이라고 답했다.
◇ LG유플러스, 정보보호투자액·인력 통신3사 최저
LG유플러스는 연이은 디도스 공격이 있기 전인 지난 1월 초에 개인정보 유출 사태로 곤욕을 치렀다. 게다가 처음 공지에서 밝힌 피해규모가 이후 달라지기도 해 비판을 받았다.
지난달 10일 LG유플러스는 홈페이지 공지사항에 18만명 규모의 고객 개인정보가 유출됐다고 공지했다. 그러나 지난 3일 수정 공고를 해 개인정보 유출 고객은 기존보다 11만명이 추가된 29만명이라고 알렸다. 이와 함께 한국인터넷진흥원이 개인정보 유출 사실을 지난달 2일 LG유플러스에게 전달했지만 이보다 8일 늦게 고객에게 알린 것으로 전해졌다.
LG유플러스가 개인정보 관리 이슈로 도마 위에 오른 일은 이전에도 있었다. 지난 2020년 12월 개인정보보호위원회(이하 개인정보위)는 2016년 9월부터 2019년 6월까지 LG유플러스의 2개 대리점이 고객정보 접속계정을 권한이 없는 매집점과 공유했다고 밝혔다. 이로 인해 LG유플러스는 관리·감독을 소홀히 했다는 이유로 과징금 1,160만원과 과태료 1,000만원이 부과됐다.
개인정보위에 따르면 LG유플러스는 대리점 시스템의 개인정보 안전조치 모의테스트 수행과정에서 가상 파일이 아닌 실제 개인정보파일을 사용했고, 해당 파일을 암호화하지 않고 네트워크 폴더에 공유했다. 이 때문에 테스트에 참여하지 않은 다른 대리점도 개인정보에 접근할 수 있었다는 설명이다. 이에 지난해 11월 개인정보위는 LG유플러스에게 과태료 1,200만원을 부과했다.
업계에서는 정보보호 인력 강화가 중요하다는 의견이 나왔다. 업계 관계자는 “각 통신사는 보유한 리소스 인력과 투자할 수 있는 금액을 바탕으로 대응체계를 갖게 된다”고 설명했다.
과기정통부의 ‘2022 정보보호 공시 현황 분석보고서’에 따르면 정보보호전담인력은 △KT 336명 △SKT 196명 △LG유플러스 91명으로 나타났다. 정보보호 투자액을 보면 통신3사 중에서는 LG유플러스가 292억원으로 가장 적지만 정보통신업에서 4위인 상위권이다. KT(1위)는 1,021억원이며 SKT(2위)는 627억원이다. LG유플러스는 SKT에 비해 정보보호 투자액이 절반도 안 되고, KT의 3분의 1이 안됐다.
과기정통부 관계자는 <시사위크>와의 전화통화에서 '특별조사 점검단이 개인정보위에 과징금 건의를 하느냐'는 질문에 “별개의 건으로 보면 된다. 특별점검단은 개인정보위와 협력해 사이버 공격 관련 사안에 대해 원인분석을 한다. 개인정보 침해 사안도 있지만 사이버 공격에 초점을 맞춰 진행한다. 정보 보호 체계로 접근하면서 개인정보위와는 필요한 부분을 협력해 진행한다”고 덧붙였다.
|
2022 정보보호 공시현황 분석보고서 |
|
|---|---|
| https://www.msit.go.kr/bbs/view.do?sCode=user&mId=239&mPid=113&bbsSeqNo=94&nttSeqNo=3182540 | |
| 2022. 12 | 과학기술정보통신부 |
|
개인정보 유출 여부 및 정보항목 조회 안내 |
|
|---|---|
| https://www.lguplus.com/support/service/notice/2000007348 | |
| 2022. 02. 03 | LG유플러스 |