[일문일답] LGU+ "책임 통감…보안 관련 투자 확대" [IT돋보기]

[아이뉴스24 박소희 기자] 황현식 LG유플러스 대표는 16일 오후 2시 '사이버 안전혁신안' 기자간담회를 갖고 "정보 유출과 인터넷 서비스 오류로 불편을 겪은 고객분들께 진심으로 사과드린다"며 "고객관점에서 기본부터 다시 점검하겠다"고 사과했다. 이 자리는 최근 불거진 개인정보 관련 사고와 관련해 LG유플러스의 종합적인 대응책을 발표하기 위해 마련됐다.

이날 발표된 사이버혁신안은 ▲정보보호 조직·인력·투자 확대 ▲외부 보안전문가와 취약점 사전점검·모의 해킹 ▲선진화된 보안기술 적용 및 미래보안기술 연구·투자 ▲사이버 보안 전문인력 육성 ▲사이버 보안 혁신 활동 보고서 발간 등 5가지다.

간담회에는 황현식 LG유플러스 대표, 권준혁 네트워크부문장 겸 부사장, 정수현 컨슈머부문장 겸 부사장, 최택진 기업부문장 겸 부사장, 박형일 홍보·대외협력센터장 겸 부사장, 이상엽 LG유플러스 최고기술책임자(CTO) 전무 등이 참석해 입장 및 현 상황에 대한 발표를 진행했다.

다음은 LG유플러스 임원진과의 일문일답.

Q> 개인정보 유출과 관련해 개인정보 유출경로 확인됐나. 아직 아니라면 파악 안된 이유가 무엇인가. 재발방지대책은 있나.

A> 한국인터넷진흥원(KISA), 과학기술정보통신부, 개인정보보호위원회 등 정부기관과 현재 유출 경로 파악중에 있다. 유출 기반으로 해서 높은 시스템 대상으로 디지털 포렌식 수준의 조사도 현재 병행중이다. 가능한 유출경로 시나리오 모두 열어 놓고 조사중이지만, 현재 조사 진행중인 사안으로, 정부기관과의 조사 결과 나오면 함께 공유하도록 하겠다. (이상엽 LG유플러스 CTO)

Q> 디도스 공격이 유플에만 발생한 이유는. 향후 개선방안 있나.

A> 관계 당국 조사중인 사안으로, 적극 협조중이다. 아까 말씀드렸듯 미흡한 사항 대해서는 다시한번 죄송하단 말씀드린다. (권준혁 LG유플러스 네트워크부문장 겸 부사장)

Q> 보상안과 관련한 질문이다. 개인정보 유출과 디도스 공격 모두에 해당된다. 피해 입은 소비자에게 유심칩 교환, 스팸차단 이외 보상 계획중인가? 알뜰폰 포함 지출 예산 규모는?

A> 지금 현재 저희가 정부 조사가 나오는 대로 이용자 유형을 고려한 종합피해 지원안을 마련해서 상황에 맞는 피해 지원을 하도록 하겠다. 알뜰폰에 대한 부분도 피해 지원할 것. 현재 알뜰폰 사업자들과 협업을 통해서 구체적 지원방안을 구상 중이다. 구체적 안이 나오게 되면 그 안을 위해서 피해지원 협의체를 통해 전체적인 사안을 다 정리해 공유하겠다. (정수현 LG유플러스 컨슈머부문장 겸 부사장)

A> PC방과 소상공인 포함, 일반 기업의 경우 고객피해 지원센터를 운영할 예정이다. 센터 통해 이용자 피해상황을 접수받을 방침이다. 이를 토대로 부서별 피해지원협의체 등 구성해 세부적 피해 보상책 마련해 공지할 계획이다. (최택진 LG유플러스 기업부문장 겸 부사장)

Q> 지난 2021년 10월 25일 KT 인터넷 장애의 경우 하루 만에 구현모 KT 대표가 입장문 발표하기도 했다. 이번 사안과 관련해 황현식 사장의 입장 발표나 공식 사과가 늦어진 이유 있나.

A> 죄송스럽게 생각한다. 사안이 발생하고 나서 어느정도 사안이 명확하거나 (등 이유로) 종료돼야 하는데 그러지 못한 게 가장 크다. 그런 이유로 못했다. 불찰이 컸다. 디도스 공격 경우도 첫 주에 공격이 이뤄지고 나서 그 이후에도 지속적으로 이뤄지며 막아내는 데 총력 기울이다 보니, 외부에 대한 사과나 입장 발표 등이 늦어지게 됐다. 이에 대해 다시 한번 진심으로 사과드린다. (황현식 LG유플러스 대표)

Q> 천억원 투자 약속했다. 개인정보보호위원회나 조사결과 나오기 전, 피해 등도 언급했다. 피해 보상 규모와 천억원 투자가 별개인 건가. 그 투자 약속은 언제부터 실현되나.

A>피해보상과 천억원 투자는 별개라고 보면 된다. 천억원 투자는 당장 올해부터라도 대폭 늘려서 하도록 하겠다. 2~3년안에 미래 준비 위한 투자까지 하려고 하면 그정도 돈은 들어가겠다, 이렇게 추산하고 있다. 하지만 앞서 말했듯 관계기관에서 합동 조사라든지 권고사항 같은 것에 따라서는 더 늘어나면 늘어났지 이것보다 적게 들어가거나 하진 않을 것으로 판단한다. 구체적인 내용에 대해서는 추후 상세하게 수립되는대로 공개하겠다. (황현식 LG유플러스 대표)

Q> 앞서 피해지원 협의체등 구성해서 세부적 보상안을 마련하겠다고 했다. 아직 조사가 끝나지 않은 상황에서 구체적인 내용 밝히긴 어렵겠지만, 로드맵이나 대략적으로 생각하는 보상안이 마련되는 시기에 대해서 간략히 말해 달라.

A> 현재는 지출 비용에 관계없이 어떻게 하면 이용자 케어에 집중할 수 있을까에 전념하고 있다. 피해지원 협의체 통해서 적극적으로 이용자 상황을 인지하고, 그것에 따라서 지원 방향을 마련하겠다. (LG유플러스 측은) 전국적으로 정보유출 등 피해에 대해 염려하는 사람들이 있을 것으로 생각해 즉각적으로 전 이용자를 위해서 유심 교체나 유플러스의 광고 없는 스팸전화 알리미 등을 통해 즉각적으로 케어하도록 하겠다. 구체적 사안에 대해서는 구체 안이 마련되면 공개토록 하겠다. (정수현 LG유플러스 컨슈머부문장 겸 부사장)

Q> 해킹이 발생했을 때는 해커가 인트라넷에 직접 접근한게 맞다는 전제 하에 일회성에 걸친 건지 여러번 걸친건지 확인해야 한다. 후자는 백도어를 심어 두고 원할 때 내부 시스템에 접근해서 정보를 빼돌릴수 있기 때문이다. 시일이 꽤 지났는데, 확보된 건지 궁금하다.

A> 보통 기업서 개인정보 유출되게 되면 고객 보호 위해 유출경로 파악 위해 해커와 다양한 접촉하는게 일반적이다. 유출경로 하기 위해서 여러 접촉을 해본 결과에 의하면, 명확하게 접촉 경로를 제공하고 있지 못하다. 관련 보안 업체 통해서 긴급히, 다양하게 백도어 포함 경로를 파악한 결과 이슈는 없는걸로 확인됐다. 향후 다른 어떤 이슈가 있을수도 있기 때문에 그에 대해서는 관계 정부기관과 함꼐 조사 진행 중이다. 결과가 나오면 다시 공유를 드릴 수 있도록 하겠다. (이상엽 LG유플러스 CTO)

Q> 유심(USIM) 교체나 보상안은 이통통신망(MNO) 가입자를 대상으로 하는 보상안인데, 현재 유출 피해 대상들을 보면 인터넷TV(IPTV)와 인터넷 가입자도 있다. 이들을 위한 보상안은?

A> 저희가 IPTV나 인터넷 관련된 부분도 디도스 관련, 정부기관 조사 진행중이다. 정부 조사 다 마치는대로 이용자 유형을 고려한 종합 피해 지원안을 마련해서 각 이용자 상황에 맞는 피해 지원안을 마련하겠다. (정수현 LG유플러스 컨슈머부문장 겸 부사장)

Q> 이번 자리가 긴급하게 마련된 것 같아 보인다. 급하게 마련된 이유가 있나. 통신비 관련 대통령실에서도 불편한 심기 드러냈다 하는데 관련된 건가.

A> 아니다. (사건이) 발생하고 나서, 특히 디도스 공격 발생하면서 많은 이용자 피해가 발생했기 때문에 (사측이) 즉각 사과라든지 향후 대책 방안을 발표해야 된다고 생각했다. 공격이 완료된 게 아니라 지속됐기 떄문에 그 시점을 잡기가 어려웠고, 지난 주말을 지나면서 방어가 어느정도 안정화가 됐다고 봤기 때문에, 이번 주에 더 이상 시간을 늦추지 말고 자리를 마련하자는 뜻에서 정한 것이다. (박형일 LG유플러스 홍보·대외협력센터장 겸 부사장)

Q> 판매자가 내부시스템 접근해서 자료 배돌린 시점과, 외부 유출 시점의 시간차가 벌어졌을 가능성 있다. 보통 기업들은 다크웹이나 기업에 돌아다니는 자사 데이터가 있는지 추적과 관리를 하는 것으로 안다. 확보해 살펴본 60만 건 중 29만 건은 이번에 처음 유출 사실을 인지한건지, 혹은 훨씬 이전에 유출됐을 가능성 전혀 없는지 궁금하다.

A> 지난 1월 4일에 게시글을 올리고, 접촉 과정서 60만 건을 확보한 후 29만 건에 대해서 바로 신고했다. 미리 알고 있었던 걸 늦게 하거나 그런 것들은 없었다. 추가로 유출 경로 확인 등을 위해서 다양한 노력중이다. 추가 범위나 경로에 대해 확정적으로 밝혀진 바는 없다. 정부기관과 함께 이번 조사를 통해서 정해진 걸 조만간 같이 발표하도록 하겠다. (이상엽 LG유플러스 CTO)

추가로 29만 건 관련, 확보한 시점이 1월 10일에 18만 건, 2월 3일에 11만 명이다. 참고 부탁드린다. (박형일 LG유플러스 홍보·대외협력센터장 겸 부사장)

Q> 유출 고객 명단을 확보하고, 개별적으로 통보했나. 아직 안했다면 언제쯤 통보하나.

A> 현재 28만 명은 1월 10일에 이메일 문자 홈페이지 등을 통해서 통보했다. 2월 3일에 해지자 등 11만 명에 대해서는 해지자이기 때문에(조회 불가하므로) 홈페이지에 30일 동안 고지하면서 조회할 수 있도록 했다. (박형일 LG유플러스 홍보·대외협력센터장 겸 부사장)

Q> 국회에서 이번 사고 관련해서 중국 화웨이 장비 때문이 아니냐 의혹을 제기했었다. 이와 관련해서 실제로 (장비가) 관련이 있는지 점검결과 나왔나. 전수조사 통해 앞으로 문제 발견되면 화웨이 장비 관련 어떻게 조치할 건가.

A> 두 건과는 관련 없는것으로 파악 중이다. 화웨이 관련해서는 별도로 최고수준의 (글로벌) 보안 관련 업체들로부터 2~3군데 정도를 해서 별도 점검을 받고 이행하고 있다. 이번 사건과는 무관하다는 점 말씀드린다. (황현식 LG유플러스 대표)

Q> 문제 원인에 대해서 사과하며 네트워크, 보안에 대한 장비가 부족했다고 설명했고, 3배로 투자 늘리겠다고 했다. 지금 현재 투자수준이 타사와 비교했을 때 어느 정도 수준인지, 3배로 늘렸을때 충분히 되는 규모인지 설명 부탁.

A> 현재 투자수준에 대해서는 이미 언론에 상당히 낮은 수준으로 나와있다. 일단 국내 최고 수준으로 경쟁사 대비 (LG유플러스가) 시스템 규모가 작기 때문에, 비례로 하면 적게 투자 되는게 맞지만 이번 기회에 대폭 강화하겠다는 차원에서 국내 최고액으로 올라갈 정도로 급하게 투자를 더 해야 되겠다는 뜻에서 말했다. 조사 결과라든지 이행 과정서 조금 더 철저히 하기 위해선 더 많이 들어갈 수도 있겠다 이런생각까지도 한다. (황현식 LG유플러스 대표)

Q> (보안 관련) CEO 직속으로 개편한다고 했다. 기존에는 정보보호 관련 조직체계가 어떻게 구성돼 있었으며, 새롭게 마련되는 CISO, CPO는 어떻게 조직되나. 또 내부인력을 늘리겠다는 것처럼 들린다. 작년에 외주 비중이 갑자기 늘었다. 내부 인력이 늘어나는 건가. 그렇다면 총 정보보호 관련 인력은 현재 91명 수준인데 타사 대비 어느 정도 되나.

A>CISO, CPO 부문은 별도 구분 운영하지 않았고, 정보 보호 전담조직을 IT 부문과 같이 운영했다. 앞서 말씀드린 것처럼 전사 차원 조직으로 격상, 두개를 분리해서 만들면서 보강하겠다는 뜻이다. 이어 내부·외부 외주 인력 등을 전체적으로 살펴보면서 필요한 부분에 대해서는 강화 해나갈 계획이다. (황현식 LG유플러스 대표)

Q> 해킹 데이터 판매한다는 텔레그램 채널 여전히 운영중인 걸로 안다. 이에 대한 대책 마련됐나?

A> 복수의 전문 대행업체 통해서 판매행위 지속 모니터링 중이다. 브리치 포럼이라는 불법 사이트, 텐센트에 게시된 것들은 정부와 협력해서 게시글 삭제토록 조치했고, 텔레그램도 노력중이나, 현재 행동을 계속하고 있는 상황이라 정부와 같이 같이 모니터링할 수 있도록 할 예정이다. 다만 얘기하고 싶은 것은, LG유플러스는 본 유출건에 대해 사안을 심각하게 느끼고 있다. 60만 건의 데이터를 입수했다고 해서 이에 한정해서만이 아니라 모든 가능성을 열어두고 범위, 유출 등 관련 대응을 검토할 계획이며 수사도 적극 협력할 계획이다. 이를 위해 29만 명으로 한정하는 것이 아니라 전체를 대상으로 원하는 이용자는 유심교체 및 스팸차단 알리미 등 서비스를 제공 중이다. 향후 다양한 보안 관련 서비스도 제공 준비토록 하겠다. 이상엽 LG유플러스 CTO)

Q> 디도스 공격 관련, 지난주 국회 답변시 BGP 트래픽 집중 방식으로 공격받았다 했다. 이런 방식이 과거 사례가 없었던 게 아닌데 대비 안된 이유가 뭔가. 대비 체계 강화 한다는데 어떻게 얼마나 강화할 건가.

A> 기존에 트래픽을 이용한 가입자 공격이었던 것과 대비, 이번에는 장비 공격 형태로 이뤄졌다. 이와 관련해 두 가지 조치를 완료했다. 인지, 탐구 조치하는부분과 장비 자체 보호 기능이다. 인지 탐지와 관련해 보완했고, 장비 관련해서는 원천적으로 자기 쪽 트래픽이 아닌 경우 차단하는 방식으로 모든 장비를 적용 완료했다. 2월 5일까지 해당 두 가지 강화 정책이 다 적용됐고 그 이후로 현재 소스에 대응 중이다. (권준혁 네트워크부문장 겸 부사장)