황현식 LG유플러스 대표는 이번 고객정보 유출과 디도스 공격으로 인한 인터넷 서비스 오류에 대해 사과하고, 정보보안 투자를 현재의 3배 수준인 1000억원까지 확대하겠다고 밝혔다. 황 대표는 또 그동안 전사정보보호(CISO)와 개인정보보호책임자(CPO)를 따로 운영하지 않았지만 이를 전사 차원으로 CEO 직속 조직으로 2개 조직을 별개로 운영하며 역량을 강화할 것이라고 발표했다.
16일 오후 서울 용산사옥에서 개최된 기자간담회에서 황현식 LG유플러스 대표는 고객정보 유출과 디도스 공격으로 인한 인터넷 서비스 오류를 개선하기 위한 방안으로 이 같은 내용을 담은 '사이버 안전혁신안'을 공개했다.
황 대표는 "이번 사고는 중대한 상황이었다. 우리는 보안체계가 통신산업의 근간이라는 데 집중하지 못 했다. 사업 출발점은 고객인 데 고객에게 신뢰할 수 있는 기업이 되어야 겠다고 생각했다. 고객, 국회 등의 질책이 있었고 개선안 마련에 대한 요구가 있었다. 고객, 국회, 정부 기관의 의견을 반영해 이를 실행해 나가겠다"고 사과했다.
그는 "1월1일 개인정보 유출 정황을 인지해 관계 기관에 신고했고 유출 원인을 파악하기 위해 관계 기관과 노력하고 있다. 현재까지 추가로 파악된 유출 정보는 없고, 케어 방안을 준비 중"이라며 "디도스 공격으로 인한 접속 오류도 1월 29일과 2월 4일 양일에 걸쳐 총 5회가 발생했다. 1월 29일 3차례 전국 단위의 부분적인 인터넷 서비스 오류가 있었고 2월 4일 일부 지역에 2차례 접속 오류가 있었다. LG유플러스는 경영진을 중심으로 전사 위기 관리 피해에 대한 대책을 마련하고 고객센터까지 전사에 거쳐 비상대응하고 있다"고 설명했다.
황 대표는 "우선 학계, 법조계, 시민단체 등으로 피해 지원 협의체를 조성해 고객들이 체감할 수 있는 종합 피해 지원책을 마련하겠다"며 "별도 사이트와 전용번호를 통해 피해를 지원하고, 전담반을 구성해 구체적이고 실질적인 조치를 내놓겠다"고 밝혔다.
황 대표가 사고 재발을 방지하기 위한 대책으로 발표한 사이버 안전혁신안은 ▲정보보호 조직·인력 투자 확대 ▲외부 보안전문가와 취약점 사건점검·모의 해킹 ▲선진화된 보안기술 적용 및 미래보안기술 연구·투자 ▲사이버 보안 전문인력 육성 ▲사이버 보안 혁신 활동 보고서 발간 등으로 구성된다.
그는 "취약점을 사전 점검하고 모의 해킹 훈련을 실시하는 한편, 보안 안정성을 높이겠다"며 "자문기구인 '정보보호위원회'를 운영해 기술 및 관리 체계를 점검하고 개선하겠다"고 말했다.
황 대표는 "세계 최고 수준의 화이트 해킹 대회를 개최해 그 결과를 공개할 것"이라며 "선진화된 보안 기술을 적용하고 보안 기술 수준을 고도화하겠다. 양자내성암호와 전문개발사 등에 M&A를 진행하는 등 적극 투자할 계획"이라고 밝혔다.
그는 또 "사이버 보안 전문인력 개발에 힘을 쓰겠다. 보안 관련 대학 연구소와 협력해 전문인력을 육성하고 채용도 추진하겠다"며 "인공지능(AI) 기반으로 공격자에 내부에 있다는 전제 하에 훈련하겠다. 사이버 보안의 핵심 활동에 대해 모든 내용을 외부에 투명하게 공개하고 '사이버 안전 혁신 보고서'를 공개해 인력 강화와 투자 현황에 대해 평가받겠다"고 말했다. 황 대표는 특히 "이와 관련된 활동을 CEO인 제가 직접 챙기겠다"고 강조했다.
또한 이상엽 LG유플러스 CTO는 "고객정보가 유출된 고객 중 우선 18만명을 인지해 이들에게 정보 유출을 고지했다. 유출된 데이터를 살펴보니 가장 늦게 생성된 데이터가 2018년 과거 데이터로 추정된다"며 "이후 11만명의 정보가 유출된 것을 추가로 확인했다. 유출된 정보에는 전화번호, 성명, 주소, 생년월일, 이메일, 암호화된 패스워드 및 주민번호, 유심번호 등이다. 다행히 결제 관련 금융정보는 포함돼 있지 않다"고 밝혔다. 그는 "여전히 가해자는 3000만명의 고객 정보를 가지고 있다고 주장하지만 확인되지 않았다"고 덧붙였다. 이 CTO는 "전체 고객 대상으로 유심 무상 교체를 진행하고 스팸전화 알리미 서비스 등을 준비하고 있다"고 말했다.
권준혁 LG유플러스 네트워크 부문장(부사장)은 "기존의 디도스 공격은 대용량 트래픽을 활용한 가입자 공격인 반면, 이번 공격은 장비간 연결신호를 활용해 통신망 장비를 공격한 사례였다. 대용량 트래픽 공격에 대한 방어체계는 운영하고 있었지만, 통신망 장비로의 공격 방어체계는 다소 미흡했다"며 "잠재된 리스크를 추가 발굴해 다양한 공격 유형에 대한 방어체계를 유지해나가겠다"고 밝혔다.
정수현 컨슈머부문장(부사장)은 "알뜰폰에 대한 피해 지원에도 나설 것"이라며 "알뜰폰 사업자분들과 협업을 통해 구체적인 지원방안을 구상 중"이라고 말했다.
한편, 경쟁업체의 경우, 장애 상황이 발생하자 마자 곧바로 이에 대해 사과하고 대책을 내놓았지만 LG유플러스는 사과와 대책 발표가 늦어진 데 대해 황 대표는 사과했다. 그는 "사안이 발생한 후 명확하게 종료가 되어야 하는데 그렇지 못 해 이를 미룬 게 내 불찰이었다"며 "디도스 공격이 첫 주에 이뤄진 후 지속적으로 이뤄졌는데 이를 막아내는 데 총력을 기울여 사과와 입장문을 내는 것이 늦어져 죄송하다"고 사과했다.
Copyright ⓒ 메트로신문 & metroseoul.co.kr
Copyright ⓒ Metro. All rights reserved. (주)메트로미디어의 모든 기사 또는 컨텐츠에 대한 무단 전재ㆍ복사ㆍ배포를 금합니다.
주식회사 메트로미디어 · 서울특별시 종로구 자하문로17길 18 ㅣ Tel : 02. 721. 9800 / Fax : 02. 730. 2882
문의메일 : webmaster@metroseoul.co.kr ㅣ 대표이사 · 발행인 · 편집인 : 이장규 ㅣ 신문사업 등록번호 : 서울, 가00206
인터넷신문 등록번호 : 서울, 아02546 ㅣ 등록일 : 2013년 3월 20일 ㅣ 제호 : 메트로신문
사업자등록번호 : 242-88-00131 ISSN : 2635-9219 ㅣ 청소년 보호책임자 및 고충처리인 : 안대성
