LG유플러스가 1월 잇따라 일어난 개인 정보 유출과 분산서비스거부(DDoS·디도스) 공격으로 생긴 인터넷 접속 오류를 공개 사과했다. 아울러 유출 피해를 줄이기 위해 마련한 보상책을 알리고 통신 3사 중 꼴찌라는 비판을 받은 보안 강화 관련 투자를 늘리겠다고 밝혔다.
황현식 LG유플러스 대표는 16일 서울 LG유플러스 용산사옥에서 기자간담회를 열고 "정보 유출과 인터넷 서비스 오류로 불편을 겪은 고객분들께 진심으로 사과드린다"며 고개를 숙였다. 그는 이어 "이번 사안은 통신산업의 기본이라 할 수 있는 네트워크와 정보보안에 집중하지 못한 결과"였다며 "기본부터 다시 점검하겠다"고 말했다.
앞서 LG유플러스는 지난달 1일 해커가 불법 정보거래사이트에서 LG유플러스의 개인정보를 판매하겠다고 주장한 것을 확인하고, 과거 해지 고객을 포함해 총 29만 건의 개인정보가 빠져나갔음을 확인했다. 이상엽 LG유플러스 최고기술책임자(CTO)는 "유출된 정보 중 결제 등 금융정보는 포함되지 않았으나 유심(USIM·가입자 식별 모듈) 번호는 있다"며 "정보 유출 피해 고객은 스팸이나 스미싱 공격의 대상이 될 수 있다"고 강조했다.
지난달 29일과 이달 4일에는 각각 3회와 2회 디도스 공격을 받아 인터넷 접속에 이상이 생겼다. 이번 공격은 장비 사이의 연결 신호를 이용해 통신망 장비를 공격한 방식이다. 권준혁 LG유플러스 네트워크부문장은 "통신망 장비에 대한 방어체계는 다소 미흡했다"면서 "전체 장비를 보강해 현재는 간헐적 공격이 지속되고 있지만 서비스 영향 없이 대응 중"이라고 말했다.
LG유플러스는 이날 고객의 피해 보상 계획을 공개했다. 우선 고객이 느낄 불안감을 줄이기 위해 유출 피해를 입은 사실이 확인된 고객이 아니더라도 원하면 누구나 유심을 무료로 바꿀 수 있게 하고 스팸 방지 서비스도 무료로 받을 수 있다. 또 피해지원협의체를 꾸려 종합 피해 지원안을 마련하는 한편 디도스 공격으로 손실을 본 PC방 등 소상공인과 기업을 대상으로 피해지원센터를 차려 피해 상황을 접수할 것이라고 밝혔다.
장기적으로 보안 능력을 강화할 '사이버 안전혁신안'도 공개했다. 황 대표는 LG유플러스의 정보보안을 위한 투자가 적다는 지적에 대응해 "정보보안 투자를 현재의 세 배, 업계 최고 수준인 1,000억 원까지 늘리겠다"고 밝혔다. 한국인터넷진흥원(KISA)이 지난해 12월 발표한 '2022 정보보호 공시 현황 분석보고서'에 따르면 LG유플러스의 정보보호 투자는 292억 원으로 통신 3사 중 가장 적다.
한편 LG유플러스는 정보 유출 과정이나 디도스 공격이 LG유플러스에 몰린 이유 등을 두고 "관계 당국과 함께 조사 중이기 때문에 당장 밝힐 수 없다"고 답했다.
두 사건 이후 소비자 피해가 이어지는데도 입장 발표가 늦었다는 지적이 있자 황 대표는 "저의 불찰이 컸다"면서 "사안이 명확하게 종료가 되지 않은 상황이고 디도스 공격도 지속되는 가운데 방어에 총력을 기울이다 보니 외부 입장문 발표가 늦어졌다"고 해명했다.