연초부터 사이버공격으로 홍역을 치른 LG유플러스가 기본에 충실한 통신사로 거듭나겠다는 의지를 나타냈다. 피해 보상은 물론, 매출 규모와 상관없이 업계 최고 수준으로 정보보호 분야에 투자하겠다는 약속도 잊지 않았다.
황현식 LG유플러스 대표는 16일 서울 용산 사옥에서 진행한 기자간담회에서 "보안체계가 통신사업의 근간이라는 점에 집중하지 못한 결과"라며 "이번 일을 계기로 모든 사업의 출발점은 고객이라는 점을 되새겨 기본부터 다시 점검하겠다"고 강조했다. 그리고 자리에서 일어나 90도로 고개 숙여 사과했다.
LG유플러스는 단기간 내 연간 정보보호 투자액을 현재의 3배 수준인 1000억원으로 확대할 방침이다. 황현식 대표는 "피해 보상과는 별개로 미래 준비까지 생각했다"며 "관계기관의 합동 조사나 권고안에 따라 더 늘어나면 늘었지 줄어들지는 않을 것"이라고 말했다.
경쟁사 대비 정보보호 투자가 미흡했다는 지적을 수용한 것으로 보인다. 2021년 기준 KT와 SK텔레콤은 각각 1021억원, 627억원을 해당 분야에 쏟았지만, LG유플러스는 292억원에 그쳤다.
황현식 대표는 최초 사고 이후 한 달 만에 공식 입장을 표명한 이유에 대해 "사고가 명확하게 종료되지 않아서 그랬는데, 제 불찰이 컸다"며 "디도스도 첫 공격이 이뤄지고 나서 막아내는 데 총력을 기울이다 보니 입장 발표가 늦어졌다. 진심으로 사과한다"고 말했다.
연초부터 유독 LG유플러스를 겨냥한 사이버공격이 잇따랐다.
지난 1월 1일 한 불법 판매자가 2000만건의 LG유플러스 고객 정보를 보유했다고 주장하는 글을 올렸다. LG유플러스는 보안 협력업체를 통해 판매자와 접촉, 중복을 제외하고 29만명의 고객 정보가 포함된 것을 확인하고 곧바로 한국인터넷진흥원(KISA)에 신고했다.
당초 18만건으로 집계했다가 해지고객 11만건이 추가됐다. 가장 최근 데이터는 2018년 6월 생성된 정보인 것으로 나타났다.
아직 정확한 유출경로는 파악하지 못했다.
이상엽 LG유플러스 CTO(최고기술책임자)는 "해커와 다양한 접촉을 시도하고 있지만 명확하게 경로를 제공하지 않고 있다"며 "보안업체와 백도어(취약점) 등 여러 경로를 테스트한 결과 현재는 이슈가 없는 것으로 파악된다"고 했다.
또 1월 29일부터 2월 5일까지 5차례의 대규모 디도스(분산서비스 거부) 공격으로 인터넷 서비스 접속이 원활하지 않아 고객 불편을 야기했다.
대용량 트래픽에 대한 방어체계는 구축한 상태였지만 통신망 장비를 보호하는 장치가 미비했다는 게 회사의 설명이다. 이에 주요 장비부터 공격 방어체계를 보강하기 시작해 2월 5일 전체 장비에 대한 작업을 마쳤다.
대상과 유형을 바꾼 공격이 계속해서 시도되고 있지만 사전 차단과 트래픽 우회 등으로 서비스에 영향이 없도록 대응 중이다.
권준혁 LG유플러스 네트워크부문장은 이통사 중 LG유플러스만 디도스 공격으로 피해를 본 이유에 대해서는 "관계 당국의 조사에 적극적으로 협조하고 있다"며 "미흡한 사항에 대해서는 다시 한 번 죄송하다는 말씀을 드린다"고 말했다.
황현식 대표는 이통 3사 중 유일하게 도입한 중국 화웨이의 네트워크 장비가 일을 키운 것 아니냐는 비판에 대해 "화웨이 장비는 두 건의 사고와는 관련이 없는 것으로 파악하고 있다"며 "글로벌 최고 수준의 보안 업체들의 점검을 받고 있다"고 말했다.
LG유플러스는 학계·법조계·시민단체 등과 함께 피해지원협의체를 구성해 고객별 유형을 고려한 '종합 피해지원안'을 마련할 예정이다. 우선 피해지원안의 일환으로 별도의 신고센터를 운영해 고객의 피해를 최소화할 수 있도록 지원한다.
중장기적으로는 정보보호 조직·인력·투자 확대와 외부 보안전문가와 취약점 사전점검·모의 해킹, 선진화 보안기술 적용 및 미래 보안기술 연구·투자 등에 힘을 싣는다.
황현식 대표는 "상식적이고 안정적이고 탄탄한 방어력을 구축해야 하는데 미흡했다"며 "논의한 모든 내용에 대해서는 제가 책임을 지고 고객 신뢰 회복을 위해 최선을 다할 것"이라고 힘줘 말했다.