[아이뉴스24 안세준, 김혜경 기자] 과학기술정보통신부와 한국인터넷진흥원(KISA)이 LG유플러스 18만명 고객 개인정보 유출에 대한 경위를 파악하기 위해 서울 마포구 상암동 일대에 위치한 LG유플러스 데이터센터(IDC)를 현장 방문했다.
지난 10일 LG유플러스(대표 황현식)는 "일부 고객정보가 유출된 사실을 인지했다"며 "소중한 정보가 부적절하게 이용될 수 있으니 유의해 주시기 바란다"고 공식 홈페이지에 게재했다. 유출이 확인된 고객 수는 18만명. 개인마다 차이가 있으나 성명과 생년월일, 전화번호 등이 포함된 것으로 알려졌다.
◆18만명 개인정보 유출 사건 발달…"다크웹서 LGU+ 고객정보 판매글 게재"
LG유플러스·KISA 등 기관으로부터 취합한 사고 경위에 따르면 KISA는 지난 2일 LG유플러스 고객 개인정보가 유출된 것 같다는 외부 제보를 받았다. 다크웹에 LG유플러스 고객 개인정보 판매글이 게시됐다는 내용이다. 판매자는 지난 1일 판매글을 올린 것으로 추정된다. 현재는 삭제된 상태다.
KISA는 즉각 대응했다. 외부 제보를 토대로 LG유플러스 측에 침해사고와 개인정보 유출사고 가능성을 안내했다. 침해사고란 외부적 요인에 의한 사고를 말한다. 해킹 가능성이 함께 제기된 셈이다. LG유플러스가 고객 개인정보 유출 사실을 최초 인지한 때가 이 시점이다.
LG유플러스는 내부조사에 착수했다. 지난 3일 피해 정황이 포착됐다고 KISA 측에 전달했다. 다만 이날 침해사고 관련 신고는 아니였다는 것이 KISA 측 입장이다. 이같은 사실은 개인정보보호위원회도 인지했다. 개인정보위는 "유플러스 측이 유출신고를 한 것은 3일이다. 이후 5일과 9일 세 차례에 걸쳐 신고했다"고 밝혔다.
개인정보위에 따르면 LG유플러스는 "판매글에 LG유플러스 고객 개인정보가 포함된 것 같다"며 지난 5일 재차 신고했다. 이후 9일 들어 18만건이 유출된 것으로 파악됐다. 총 유출건수가 최초 집계된 것이다. 이날 개인정보위도 정식 조사에 착수했다.
LG유플러스가 공식 홈페이지·개별 문자 등을 통해 개인정보 유출 사실을 알린 건 지난 10일이다. 침해사고와 개인정보 유출사고를 동시 집계·파악하다보니 최초 인지 시점 대비 고객 안내에 시간이 소요됐다. LG유플러스 측은 "불명확한 데이터를 확인하고 고객을 특정하는 데 시간이 걸렸다"고 설명했다.
◆"LG유플러스 아닌 LG유출러스?"…보안성 취약 문제 제기 '꿈틀'
LG유플러스로부터 개인정보가 유출된 건 이번이 처음은 아니다. 지난해 교육시스템 내 일부 페이지가 로그인 없이 접근 가능한 오류가 발생했다. 특수문자 차단 기능을 적용하지 않아 SQL 주입(SQL Injection) 공격으로 임직원 등 메일정보가 다크웹에 게시됐다. SQL 주입이란 데이터베이스(DB)에 대한 질의값을 조작해 해커가 원하는 자료를 빼는 공격 기법이다.
뿐만 아니다. LG유플러스는 지난해 11월 개인정보위로부터 과태료 1천200만원의 시정조치 명령을 받았다. 개인정보처리시스템 접근 제한 미흡과 동의 없는 고객 가족 연락처 1건을 제3자에게 제공했다는 사유다. 대리점 시스템 개인정보 안전조치 모의 테스트 수행 과정에서 가상 파일이 아닌 실제 개인정보 파일을 사용한 것으로 당시 조사됐다.
해당 파일을 암호화하지 않고 네트워크 폴더에 공유, 테스트에 참여하지 않은 대리점도 접근할 수 있게 했다. 위원회는 이 같은 행위를 안전조치 위반으로 판단했다. 실제 개인정보가 유출되지는 않았지만 유출될 위험성이 있는데도 이를 방치했기 때문이다.
정부는 LG유플러스 IDC센터 현장조사를 진행하고 침해사고 여부·개인정보 유출 경위 등을 조만간 발표할 예정이다. LG유플러스 측은 "고객께 걱정을 끼쳐드려 죄송하다. 고객 개인정보가 유출된 정황을 확인하고 이를 관계기관에 신고했다. 고객께도 안내하고 있다"며 "홈페이지를 통한 조회 시스템 또한 운영 중이다. 향후 신속한 조사가 이뤄질 수 있도록 관계기관 조사에 적극 협조하겠다"고 말했다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기