LG유플러스가 또다시 보안·개인정보 관리에 허점을 드러냈다. 해킹, 관리 부실 사례가 이어지면서 재발 방지에 손을 놓고 있는 것 아니냐는 비판을 피할 수 없게 됐다.
LG유플러스는 최근 고객 18만명의 개인정보가 유출된 것을 확인, 한국인터넷진흥원(KISA)에 신고했다. LG유플러스는 유출된 개인정보가 주로 성명, 생년월일, 전화번호 등이라고 밝혔지만 휴대전화 모델, 시리얼번호, 맥(MAC) 주소, IMSI 등이 노출된 고객도 적지 않은 것으로 확인됐다. 피싱, 복제폰으로 인한 2차 피해가 우려되는 대목이다. LG유플러스 통신망을 사용하는 알뜰폰 사용자의 피해 사례도 보고 되고 있어 피해 규모도 확대될 공산이 크다.
LG유플러스는 사고 대응 과정에서도 허점을 드러냈다. LG유플러스는 1월 2일 전후로 사고를 인지했는데 해커가 공격 사실을 공개하기 전까지 사태를 파악하지 못했다. 이후 신고가 이뤄지기까지 일주일이 넘게 걸렸다.
LG유플러스의 개인정보 유출 사고는 처음이 아니다. LG유플러스는 지속가능경영보고서에 2019년~2021년 사이 고객정보 유출이 한 건도 없다고 밝혔지만, 임직원의 개인정보가 유출된 바 있다. 2021년 12월 해킹 공격을 받아 임직원의 메일 정보 3만여 건을 탈취당했고 관련 정보가 다크웹에 게시됐다. 이와 관련해 개인정보보호법 위반으로 개인정보보호위원회로부터 과태료(600만원)를 부과받았다.
개인정보 관리도 부실했다. 2020년, 개인정보 취급 관련 대리점 관리·감독 소홀을 이유로 과징금·과태료(1160만원·1000만원)처분을 받았다. 당시 접속 권한이 없는 매집점이 LG유플러스 고객정보시스템에 무단으로 접속했지만, 접속장소 파악, 기록 등 점검이 제대로 이뤄지지 않았다.
지난해 12월엔 개인정보를 암호화하지 않고 네트워크 폴더에 공유한 행위로 과태료(1200만원)를 물었다. 개인정보 안전조치 모의테스트 수행과정에서 개인정보파일을 사용하고도 이를 삭제하지 않아 테스트에 참여하지 않은 대리점이 접근할 수 있게 했다.
개인정보 유출, 관리 소홀 사고는 유독 LG유플러스에 집중됐다. 개인정보위 출범 이래 공표된 이동통신사 제재 처분은 총 3건으로 모두 LG유플러스가 받았다.
보안, 개인정보보호 리스크에 노출됐지만, 개선이 이뤄지지 않는 모습이다. 미흡한 정보보호 투자, 정책 등이 원인으로 지목된다.
정보보호산업진흥포털에 따르면 LG유플러스는 2021년 정보보호부문에 291억원을 투자, 이통 3사 가운데 최하위를 기록했다. 같은 기간 KT는 1021억원, SK텔레콤은 626억원을 투자했다. 매출 대비 정보보호투자액 비중 또한 LG유플러스가 0.21%로 가장 낮다. KT, SKT는 각각 0.41%. 0.37%다. 직전 2개년 정보보호 투자 현황을 분석해도 순위는 마찬가지다.
LG유플러스는 영업이익 '1조원 클럽' 가입을 목전에 뒀다. 성장에 치중하다보니 보안, 개인정보보호 투자에 소홀했다는 비판이 따른다.
정보보호 업계 관계자는 “단순히 정보보호 투자 규모로 기업의 보안 상태를 말할 순 없지만, LG유플러스가 임직원·고객 개인정보 탈취사고를 연이어 겪은 것은 짚어볼 대목”이라며 “보안 정책은 물론 실제 대응 체계 등 전반에 구멍에 없는지 정밀 조사가 필요하다”고 지적했다.
LG유플러스 관계자는 “정부와 조사기관의 조사에 최대한 성실하게 협조하고 있다”며 “조사 결과 등을 참고해 고객 정보보호에 최선을 다하기 위한 개선책을 마련하겠다”고 말했다.
〈표〉LG유플러스 개인정보 관련 사고 일지
최호기자 snoop@etnews.com, 박지성기자 jisung@etnews.com