LG유플러스 또 … 이통3사, 해커의 놀이터 된 까닭

새해부터 뚫린 이통사 보안망
개인정보 유출에 디도스까지
정보보안 투자 비중 평균 밑돌아
해외 기업과 비교해도 크게 낮아

지난 1월 2일, 새해부터 LG유플러스엔 ‘비상’이 걸렸다. 해킹 탓에 고객 18만명의 개인정보가 유출됐기 때문이다. 유출된 개인정보는 개인별로 차이가 있지만 이름·생년월일·전화번호·휴대전화 모델명·이메일 주소 등으로 다양했다.

문제는 LG유플러스가 해킹 여부를 뒤늦게 판단했다는 점이다. 해킹 자료가 거래되는 다크웹에 “LG유플러스 고객정보를 판다”는 글을 확인한 한국인터넷진흥원은 지난 1월 2일 LG유플러스에 이 사실을 알렸다. LG유플러스는 그로부터 8일이나 흐른 10일에야 홈페이지를 통해 “일부 고객의 개인정보가 유출된 사실을 인지해 알려드린다”는 공지를 발표했다. 해킹을 당하고 유출된 고객 정보가 암시장에 돌 때까지 LG유플러스는 이를 인지조차 못하고 있었다는 얘기다.

논란은 여기서 끝나지 않았다. 1월 29일 LG유플러스 유선 인터넷망에서 하루에만 두차례(2시 56분, 17시 58분) 접속 장애가 일어났는데, LG유플러스는 ‘서비스 거부 공격(Distributed Denial of Service·DDOS)’을 받았기 때문으로 추정하고 있다. 이 때문에 LG유플러스의 유선 인터넷과 IPTV, 결제 시스템 등이 20여분간 두차례 멈췄다.

DDOS 공격은 서버에 과부하를 일으켜 서버를 마비시키는 방식을 쓰므로 해킹과는 약간 결이 다르다. 하지만 가뜩이나 해킹 논란으로 소비자들로부터 눈총을 받던 때에 벌어진 일이었기에 이번 DDOS 공격은 LG 유플러스의 기업 이미지에 적지 않은 타격을 입혔다.

더구나 인터넷 사용이 잦은 주말 오후에 유선 인터넷이 멈춘 것도 치명적이었다. KT·SK텔레콤에 이어 업계 3위이긴 하지만 LG유플러스의 유선인터넷 이용자 수는 493만명(2022년 11월 기준)으로 규모가 작지 않다. 그래서인지 온라인 커뮤니티엔 LG유플러스의 보안 수준을 지적하는 이용자들의 불만이 쏟아졌다.

LG유플러스가 보안 문제로 구설수에 휘말린 게 이번이 처음은 아니다. 2021년엔 3만건에 달하는 개인정보 유출 사태를 겪었다(표➊). 그 이후 해킹을 막는 조치를 취했는데도 또다시 해킹 구설수에 올랐으니 LG유플러스로선 ‘안전 불감증에 걸렸다’는 소비자들의 지적을 피하긴 어렵다.

이통3사 중 유독 LG유플러스만 해킹에 뭇매를 맞은 이유가 뭘까. 정보보호산업진흥포털에 따르면 LG유플러스는 2021년 정보보호 부문에 291억원을 투자했다. KT(1021억원)와 SK텔레콤(626억원)과 비교하면 액수가 크게 뒤처진다. 매출 대비 비중으로 따져도 LG유플러스는 0.21%로 가장 낮다(KT 0.41%·SK텔레콤 0.37%·표➋). “정보보호에 투자를 소홀히 한 결과가 개인정보 유출로 이어졌다”는 분석이 나오는 이유다.

그렇다고 이를 LG유플러스만의 문제로 치부할 건 아니다. SK텔레콤도 지난해 12월 자사가 운영 중인 메타버스 서비스 ‘이프랜드’에서 1000명분의 개인정보가 유출됐다. 이통3사 중 정보보호에 가장 많은 돈을 투자하는 KT도 마찬가지다. 오래된 일이긴 하지만 2014년 홈페이지를 해킹당해 고객정보 1170만여건이 유출된 전력을 갖고 있다.

이는 다른 산업과 비교해 이통3사가 정보보호에 투자 비중이 낮은 것과 무관하지 않다. 과학기술정보통신부의 2022년 보고서에 따르면 이통3사의 정보기술 투자액 대비 정보보호 투자액은 SK텔레콤 3.6%, KT 5.2%, LG유플러스 3.8%다. 전체 분석 대상 기업(627개)의 평균값(9.1%)보다 낮다(표➌). 그렇다고 9.1%가 높은 것도 아니다. 미국(23.0%), 영국(20.0%), 스페인(22.0%) 등 다른 나라 기업들과 비교하면 현저히 낮은 수준이다(표➍).

업계 관계자들 사이에서도 보안의식을 강화해야 한다는 목소리가 나온다. 이통3사의 스마트폰 개통을 돕는 대리점의 한 관계자는 “이통3사는 전국에 깔린 대리점·판매점 등 수많은 정보 수집 채널을 보유하고 있는데, 영세한 곳이 많아 제3자가 고객 정보를 열람할 가능성을 배제하기 어렵다”면서 “주기적으로 보안교육을 실시하고 적절한 보안시스템을 의무적으로 갖춰야 한다”고 꼬집었다. 과연 한국 소비자들은 언제쯤 개인정보 유출의 불안감을 떨칠 수 있을까.