[컴퓨터월드] 2023년 1월 2일, 새해와 함께 시작된 LG유플러스 대상 해킹 공격으로 고객 정보가 유출되는 피해가 발생했다. 개인정보 유출에 성공한 해커는 다크웹 등을 통해 LG유플러스의 3,000만 건 이상에 달하는 전체 고객 데이터를 11만 달러에 판매한다고 주장했다. 이 같은 주장에 대한 사실 논란은 일단 뒤로 하고, 결과적으로 LG유플러스는 고객정보 29만 건이 유출된 것으로 집계했다. 유출된 범위는 성명, 생년월일, 전화번호 등이며 LG유플러스 측에 따르면 요금 납부 관련 금융 정보는 유출되지 않은 것으로 파악됐다.

여기에 1월 말부터 2월 중순까지는 디도스(DDoS, 분산 서비스 거부) 공격을 받아 LG유플러스의 인터넷 서비스가 중단되는 일도 벌어졌다. 며칠 새 수차례에 걸쳐 서비스가 중단돼 소비자들이 답답함을 호소했음은 물론, 소상공인이나 사업자들의 경우 결제가 되지 않거나 사업이 중단되는 등의 경제적 피해까지 입게 되면서 상황이 심각하게 흘러갔다. 하지만 성난 고객들의 마음에 차지 않는 LG유플러스의 미온적이고 미흡해 보이는 대처로 인해 곳곳에서 비난이 쏟아졌다.

LG유플러스는 결국 지난 2월 16일 이례적으로 두 사태에 대해 대국민 사과를 했다. 황현식 사장은 기자간담회에서 “고객관점에서 기본부터 다시 점검하겠다”고 다짐하면서 △정보보호 조직·인력·투자 확대 △외부 보안전문가와 취약점 사전점검·모의 해킹 △선진화된 보안기술 적용 및 미래보안기술 연구·투자 △사이버 보안 전문인력 육성 △사이버 보안 혁신 활동 보고서 발간 등의 내용이 포함된 사이버 안전혁신안을 내놨다. 이와 함께 전사정보보호(CISO) 및 개인정보보호 책임자(CPO)를 CEO 직속 조직으로 강화하고, 보안전문가 영입과 함께 연간 정보보호 투자액을 1천억 원으로 3배가량 확대하겠다고 발표했다.

이번 사태를 통해 LG유플러스가 기본부터 보안을 다지겠다고 발표한 점은 환영할만한 일이다. 그러나 애초에 최첨단 5G 망을 운영하는 LG유플러스가 침입탐지시스템(IPS)이나 디도스 방어 관련 솔루션을 전혀 마련해놓고 있지 않았다는 이야기는 귀를 의심케 한다. 자연히 KT나 SK텔레콤 대비 정보보호 투자액이 상대적으로 미흡했기 때문이라는 지적이 나온다. 지난해 정보보호 공시에 따르면 LG유플러스는 정보보호에 292억 원을 투자했다. 매출 규모 차이가 있다고는 하지만 KT 1,021억 원, SK텔레콤 627억 원에 비해 많이 부족해보이는 게 사실이다. 여기에 화웨이 장비 사용 문제까지 더해져 “예상하던 일”이라는 반응이 IT업계에서 나오고 있다.

LG유플러스는 이번에 개인정보 유출 피해를 입은 고객에게 유심(USIM) 무료 교체와 스팸전화알림 서비스를 무료로 제공한다. 고객이 더 이상의 피해를 입지 않도록 하기 위한 것이라는 점에서는 적절한 조치라 할 수 있다. 하지만 실제로 경제적 피해를 입은 고객들이 문제다. 이들이 입은 피해를 정확히 산정하기도 쉽지 않고, 일률적으로 주어지는 소액의 보상으로는 속상한 마음만 깊어질 뿐이다. 이 정도면 됐겠지 하는 보상으로는 기업 이미지만 악화된다는 점을 기억해야 한다.

마지막으로 LG유플러스 사태를 지켜본 다른 기업들도 정보보호 투자 수준을 점검해봐야 한다는 점을 강조하고 싶다. LG유플러스가 ‘겨우’ 292억 원을 투자하고 있었다지만, 지난해 정보보호 공시에 따르면 총 648개사의 평균이 32억 원에 불과했고 업종별로도 금융 및 보험업 70억 원, 정보통신업 49억 원, 제조업 35억 원 수준이었다. 정보보호 투자액이 기업의 전체 보안 상태를 말해주는 절대적 척도라는 얘기는 물론 아니다. 하지만 지금은 모든 기업들이 LG유플러스를 반면교사 삼아 가능한 모든 유형의 공격에 대응할 수 있는 체계를 미리 갖추도록 점검해봐야 할 시점이다. 그래야 비즈니스 중단이나 고객 외면이라는 최악의 사태를 피할 수 있다.