[뉴스투데이=이화연 기자] 취임 3년차를 맞은 황현식(61·사진) LG유플러스 대표의 ‘고객중심 경영’이 시험대에 올랐다.

 

LG유플러스는 ‘찐팬’ 확보에 주력한 결과 지난해 역대 최고 실적을 거뒀지만 새해부터 개인정보 유출 사건이 발생한 데 이어 인터넷 접속장애가 발생해 위기 관리에 빨간불이 켜졌다.

 

이에 따라 황현식 대표는 이동통신 3개 업체 가운데 가장 뒤쳐졌던 정보보안 부문 투자를 크게 늘려 관련 조직과 인력을 정비해 고객 신뢰를 되찾겠다는 개선안을 발표했다.

 

 

■ 보안투자 3배 늘리고 관련 조직 강화…‘사이버 안전혁신안’ 발표

 

황현식 대표는 16일 오후 서울 LG유플러스 용산사옥에서 기자간담회를 열고 최근 발생한 고객정보유출과 디도스(DDoS·분산서비스 거부) 공격에 따른 인터넷 서비스 오류에 사과하며 고개를 숙였다.

 

황 대표는 “이번 인터넷 서비스 접속 오류는 1월 29일과 2월 4일 2일간 총 5회 발생했다”며 “사건 직후 저를 비롯한 경영진을 중심으로 전사위기관리 TF(태스크포스)를 구성해 대응한 결과 디도스 공격이 계속되고 있었지만 추가 장애는 발생하지 않았다”고 말했다.

 

그는 “정보유출과 인터넷 서비스 오류로 불편을 겪은 고객에게 진심으로 사과드린다”며 “이번 일을 계기로 저희 모든 사업 출발점은 고객이라는 점을 되새겨 고객 관점에서 기본부터 다시 점검하겠다”고 강조했다.

 

 

황 대표는 또 이날 사고 재발 방지를 위한 ‘사이버 안전혁신안’을 발표해 눈길을 끌었다.

 

사이버 안전혁신안은 △정보보호 조직·인력·투자 확대 △외부 보안전문가와 취약점 사전 점검·모의 해킹 △선진화된 보안기술 적용과 미래보안기술 연구·투자 △사이버 보안 전문인력 육성 △사이버 보안 혁신 활동 보고서 발간 등으로 요약된다.

 

이에 따라 LG유플러스는 전사정보보호(CISO)와 개인정보보호책임자(CPO)를 최고경영자(CEO) 직속 조직으로 두고 각 영역별 보안 전문가를 영입해 역량을 강화할 계획이다.

 

이번 혁신안의 핵심 내용 가운데 하나는 정보보호 투자액을 크게 올린 점이다. 

 

LG유플러스는 단기간 내 연간 정보보호 투자액을 현재 3배 수준인 1000억원으로 확대할 예정이다. 이는 LG유플러스 지난해 4분기 영업이익(2866억원)의 약 3분의 1 수준이다.

 

이는 LG유플러스가 지금까지 정보보호 투자에 소홀했다는 지적을 의식한 것으로 풀이된다. 과학기술정보통신부에 따르면 2021년 말 기준 LG유플러스의 정보보호 투자액은 291억원으로 KT와 SK텔레콤(626억원)과 KT(1021억원)에 크게 뒤쳐졌다.

 

황 대표는 이와 관련해 “경쟁사 대비 시스템 규모가 작기 때문에 투자 금액이 적은 것이 맞지만 이번 기회로 국내 최고 수준으로 투자를 강화하는 취지”라며 “관계기관 합동조사, 권고사항 등에 따라 1000억원보다 더 늘어날 수는 있어도 적게 들어가지 않을 것”이라고 언급했다.

 

LG유플러스는 학계, 법조계, 비정부기관(NGO) 등과 함께 ‘피해지원협의체’를 구성해 고객별 유형을 고려한 ‘종합 피해지원안’을 마련할 예정이다. 이에 따라 우선 ‘피해신고센터’를 운영해 피해 상황을 접수 받고 세부 보상안을 마련할 방침이다. 또한 분야별 전담반을 통해 사고 원인 파악과 개선사항 이행 등을 점검할 계획이다.

 

황 대표는 “뼈를 깎는 성찰로 고객에게 더 깊은 신뢰를 주는 보안과 품질에 가장 강한 회사로 거듭나겠다”고 마무리하며 다시 한번 고개를 숙였다.

 

 

■ “금융사고 위험 적지만 스팸·스미싱 우려…현재 디도스 추가 피해 없어”

 

황현식 대표에 이어 이상엽 최고기술책임자(CTO)와 권준혁 네트워크부문장이 차례로 정보유출 사건과 디도스 공격 사건 현황에 대해 설명했다.

 

이상엽 CTO는 “올해 1월 1일 불법 정보거래 사이트에 LG유플러스 개인정보를 판매하겠다는 글이 올라왔다”며 “이에 보안전문업체와 판매자에게 접촉하는 과정에서 59만건의 데이터를 입수했고 여기서 중복 데이터를 제외하면 유출 건수는 29만명으로 파악된다”고 말했다.

 

이 CTO는 “29만명 가운데 당사 고객정보 데이터베이스에서 조회된 18만명에게 1차 고지했다”며 “조회되지 않았던 11만명은 해지고객 데이터베이스에서 추가 확인해 2차 고지했다”고 전했다.

 

유출 항목은 개인 전화번호를 비롯해 성명, 주소, 생년월일, 이메일, 암호화된 패스워드, 암호화된 주민번호, 과거 단말모델, 유심 번호, 데이터 생성기간 등이다.

 

이 CTO는 다만 “결제 관련 금융정보는 포함되지 않아 금융사고 위험은 없다”면서도 “그러나 스팸(불특정 다수에 보내는 광고성 메시지)이나 스미싱(문자 메시지를 이용해 개인정보를 탈취하고 금융 피해를 주는 사기 수법)에 활용될 우려가 있다”고 말했다.

 

이에 따라 LG유플러스는 29만명 정보유출 피해고객에 한정하지 않고 모든 고객을 대상으로 유심 무상교체를 계획하고 있다. ‘U+스팸전화알림’ 서비스도 무료 제공할 방침이다.

 

이 CTO는 “정보 유출경로 등 세부 사항은 정부기관 조사가 끝나면 설명하겠다”며 “정부기관 수사와 조사에 적극 협조하겠다”고 말했다.

 

 

권준혁 네트워크부문장은 디도스 공격 개요와 원인, 인터넷 서비스 장애 현황 등에 대해 설명했다.

 

LG유플러스 망은 지난 1월 29일 전국 단위로 디도스 공격을 받아 3차례 인터넷 서비스 접속 오류가 발생했다. 또한 2월 4일에는 일부 지역에서 2차례 인터넷 서비스 접속 오류가 있었다.

 

권 부문장은 “기존 디도스는 대용량 트래픽을 활용한 가입자 공격이었다면 이번에는 장비 간 연결신호를 이용해 통신망 장비를 공격한 사례”라며 “LG유플러스는 대용량 트래픽 공격에 대한 방어체계를 운영해왔지만 통신망 장비를 통한 공격 방어체계는 다소 미흡했다”고 시인했다.

 

그는 “디도스가 공격 대상과 유형을 바꿔 공격을 간헐적으로 이어가고 있다”면서도 “1월 29일 이후 주요 장비부터 공격 방어체계를 보강하기 시작했고 2월 5일 전체 장비로 확대를 마쳐 현재까지 서비스에 영향이 없다”고 말했다.

 

권 부문장은 “앞으로도 잠재된 리스크를 추가 발굴해 다양한 공격 유형에 대한 방어체계를 갖출 것”이라고 강조했다.