경쟁사 대비 부실한 보안 투자도 비판…LG유플러스 “해킹과 화웨이 장비는 무관”
개인정보 유출 사태만 발생한 것이 아니다. 주말마다 분산서비스거부공격(DDoS·디도스)으로 인한 접속 장애가 발생하면서 LG유플러스 유·무선 통신사업 전반에 대한 신뢰도에도 타격을 받고 있다. LG유플러스는 지난해 사상 최초로 영업이익 1조 원을 돌파했지만 지나친 수익성 추구에 기본적인 보안 투자를 도외시했다는 비판이 따른다.
지난 2월 9일 열린 국회 과학기술정보통신위원회(과방위) 전체 회의의 주요 화두는 LG유플러스의 개인정보 유출 사태였다. 과방위 위원들의 질타가 쏟아진 가운데 박형일 LG유플러스 부사장은 “개인정보유출 사고로 피해를 본 가입자들에게 유심을 무상 교체해주겠다”고 밝혔다. LG유플러스가 지난 1월 10일 개인정보 유출 사태를 공식화한 후 보상 계획을 밝힌 것은 처음이다.
하지만 LG유플러스를 향한 비판의 목소리는 사그라지지 않고 있다. LG유플러스가 사태를 숨기기 급급하다는 지적이 나오는 데다 사고 원인 파악조차 늦어지는 탓이다. 실제 LG유플러스는 지난 1월 2일 사고 발생을 파악했지만 언론 보도가 이어진 후인 1월 10일에야 유출 사실을 공지했다.
피해 대상도 현 가입자뿐 아니라 탈퇴자까지 넓어졌고, 이동통신 외에 유선, 알뜰폰, IPTV, 인터넷전화 가입자까지 피해를 본 것으로 전해진다. 통신업계 한 관계자는 “1명당 요금제 결합을 통해 여러 서비스에 중복 가입한 경우가 많고 날이 갈수록 유출 규모가 커지고 있는 만큼 최초 해커가 주장해온 ‘3000만 건’ 정보 유출이 설득력을 얻고 있다”고 지적했다.
LG유플러스의 미적지근한 해명도 의혹을 키운다. 사건이 공식화된 지 한 달 이상이 지났지만 LG유플러스는 정보 유출 경로에 대해 여전히 조사 중이라는 입장이다. 홍석준 국민의힘 의원은 지난 2월 9일 국회 과방위 전체 회의에서 “LG유플러스만 개인정보 유출이 발생한 점이 화웨이 통신장비와 관계가 많다고 생각한다”며 “과기정통부가 중심이 돼 화웨이 장비에 대한 전수조사가 필요하다”고 지적했다.
홍석준 의원의 지적대로 LG유플러스는 통신 3사 중 유일하게 화웨이 무선 기지국 장비를 사용하고 있다. 화웨이 장비가 사용되는 지역은 서울과 경기도 북부, 강원도 일부로 알려졌다. 적용 대역도 LTE부터 5G까지 아우른다. 이 때문에 과거 주한미군은 LG유플러스 회선을 사용하지 않기도 했다. 보안이 우려된다는 이유에서였다.
LG유플러스는 해킹과 화웨이 장비는 무관하다는 입장이다. 해킹은 통상적으로 무선 기지국이 아닌 유선 인터넷망을 통해 이뤄지고, 기지국과 기지국을 연결하는 유선망(백홀)은 통신 3사 모두 화웨이 장비를 사용한다고 주장한다. LG유플러스는 또 가입자 정보를 보관하는 ‘코어’ 장비는 삼성전자가 납품하므로 화웨이 장비 사용에 따른 해킹이 아니라고 강조한다.
일각에서는 외부 해킹이 아닌 다른 경로로 정보가 새나갔을 가능성도 제기한다. 외부에서 해커가 침입한 것이 아니라 내부 전산망에서 다른 이유로 빠져나간 자료를 해커가 획득했을 수 있다는 것이다. 이 경우 본사보다 관리가 미흡한 알뜰폰(MVNO) 전산망이 원인일 수 있다는 진단이 나온다. 영세 알뜰폰 사업자는 자체 전산망을 구축할 자본이 없어 대부분 기존 통신사 전산을 빌려 쓴다. LG유플러스 본사 전산과 연동된 알뜰폰 중 관리가 미흡하거나 폐업한 업체에서 개인정보가 흘러나갔을 개연성이 있다는 시각이다. LG유플러스는 이동통신 3위 사업자로서 알뜰폰 사업에 적극적인 자세를 보이고 있다.
통신업계 다른 관계자는 “LG유플러스 회선을 사용하는 알뜰폰 업체 중에서는 중국인·조선족 전용으로 운영하거나 대표가 대포폰 판매로 수감돼 폐업한 경우도 있다”며 “알뜰폰 전산이 해킹되는 시나리오는 물론, 폐업한 알뜰폰 업체 등에서 보관 중인 자료가 어떻게 폐기됐는지는 알 수 없어 개인정보를 담은 하드디스크가 통째로 중국에 넘어갔을 가능성도 고려해야 한다”고 분석했다. 이와 관련, LG유플러스 관계자는 “현재 조사 중에 있으며 결과 발표 전까지는 원인을 설명하기 어렵다”고 말했다.
이번 사태를 계기로 LG유플러스가 본격적인 체질 개선에 나서야 한다는 목소리도 나온다. 통신업계 또 다른 관계자는 “LG유플러스 주장처럼 통신 3사 모두 유선 인터넷망에 화웨이 장비를 사용하고 있고, 타 통신사도 알뜰폰 사업을 벌이고 있는 만큼 이번 해킹 원인으로 화웨이나 알뜰폰을 콕 집어 말하기는 힘들다”면서도 “유독 LG유플러스만 개인정보 유출, 통신 장애 사례가 이어지는 데는 LG유플러스만의 근본적인 문제가 있다고 봐야 한다”고 했다.
LG유플러스는 최근 몇 년간 수차례 해킹 피해를 겪었다. 앞서 2016년 LG유플러스 인터넷 가입자 80만 명의 개인정보가 유출된 바 있다. 이어 2021년 12월에는 LG유플러스 직원 데이터 약 3만 건이 유출됐고, 대리점에서 가입자 개인정보를 암호화하지 않고 네트워크에 공유해 논란이 되기도 했다. 이에 개인정보보호위원회는 LG유플러스에 총 과태료 1800만 원을 부과했다. 올해 들어서는 현재 문제되는 개인정보유출 사태는 물론, DDoS 공격에 매 주말 접속장애에 시달리고 있다. LG유플러스는 현재 과학기술정보통신부의 특별 조사를 받고 있다.
통신업계는 LG유플러스의 미흡한 보안 투자가 화를 불렀다는 진단을 내놓고 있다. 한국인터넷진흥원(KISA) 정보보호공시에 따르면 LG유플러스의 2021년 정보보호부문 투자액은 291억 원으로 SK텔레콤 626억 원, KT 1021억 원에 크게 못 미쳤다. 정보보호 전담 인력도 SK텔레콤이 1961명, KT가 335.8명을 투입한 반면 LG유플러스는 91.2명에 불과했다. 이에 황현식 LG유플러스 대표는 16일 열린 기자회견에서 “단기간 내 연간 정보보호 투자액을 현재의 세 배 수준인 1000억 원으로 확대할 예정”이라고 말했다.
민영훈 언론인
박형민 기자 godyo@ilyo.co.kr