'사이버 공격' 후속책 꺼낸 LGU+…"全 유심 교체부터 소상공인 손배까지"(종합)

등록 2023.02.09 19:28:10수정 2023.02.09 19:35:47

LGU+, 과방위 전체회의서 개인정보 유출 대응 방안 언급

피해 고객 유심·전화번호 교체 등 추진 전망…약정 무상 해지도 검토

'인터넷 오류' 손배는 소상공인부터…PC방 등에 요금 감면 이뤄질 듯

정부, 3~4월 중 LGU+에 시정조치 요구…침해사고 대응체계도 개선

[서울=뉴시스]윤현성 기자 = LG유플러스가 개인정보 유출 피해자와 디도스 공격에 따른 인터넷 접속장애 피해자들을 상대로 유심(USIM) 교체, 손해 배상 등의 후속 조치를 취하겠다고 밝혔다.

과학기술정보통신부, 한국인터넷진흥원(KISA) 등 관계부처도 가능한 한 빠르게 LG유플러스 해킹과 관련한 실태조사를 마치고 시정조치를 요구할 방침이다.

LG유플러스는 9일 국회에서 열린 과학기술정보방송통신위원회 전체회의에 출석해 LG유플러스를 대상으로 한 사이버 공격 및 고객 개인정보 유출에 대한 향후 대응 방안에 대해 밝혔다.

LG유플러스는 최근 들어 잇달아 사이버 공격의 타겟이 됐다. 가장 처음에는 타사이트에서 수집한 정보를 무작위로 대입해 로그인을 시도해 보는 '크리덴셜 스터핑' 공격으로 가입자의 요금제가 임의 변경됐고, 이후에는 신원 미상 해커가 31명의 개인정보를 다크웹 개인정보 사이트를 통해 공개한 뒤 LG유플러스 이용자 개인정보를 2000만건 보유하고 있다고 주장하기도 했다.

가장 최근에는 LG유플러스 라우터에 대한 디도스(DDoS·분산서비스 거부 공격) 공격으로 유선인터넷이용 일부 고객의 접속 장애가 발생했다. 서비스 오류는 각각 63분, 59분씩 두차례 발생했다.

[서울=뉴시스] 박형일 LG유플러스 부사장이 9일 국회에서 열린 과학기술정보방송통신위원회 전체회의에 참석해 최근 발생한 개인정보 유출 사고 경위에 대해 설명하고 있다. (사진=심지혜 기자) 2023.2.9

LGU+ "피해 고객 유심 교체하고 '스팸 알림 서비스' 확대 적용…전화번호 교체까지 논의 예정"

이같은 사고 후속 대책으로 LG유플러스는 먼저 개인정보가 유출된 해킹 피해 고객들의 유심을 교체해주고, '스팸 알림 앱 서비스'라는 유료 서비스를 전체 고객을 대상으로 확대 적용할 계획이다.

아울러 현재 LG유플러스는 개인정보 유출 피해 고객 가운데 유심 교체를 요구하는 고객을 대상으로 교체 서비스를 제공하고 있는데, 항의 고객뿐만 아니라 유출 피해 고객 전원을 대상으로 유심을 교체하는 방안도 검토 중이다.

LG유플러스가 좀 더 적극적인 해킹 피해 후속 조치를 취해야 한다는 지적이 이어지고 있는 만큼 필요하다면 유심 교체에서 더 나아가 피해 고객의 전화번호까지 변경하는 방안까지 내부에서 논의할 방침이다.

디도스發 인터넷 장애 손해 배상은 '소상공인'부터…개인 고객 피해 보상은 미정

또 LG유플러스는 이동통신 3사 가운데 정보보호 투자가 가장 미흡하다는 점을 인정하기도 했다. LG유플러스의 정보보호 투자액은 292억원, 정보기술인력 가운데 정보보호 전담 인력 비율은 3.9%다. SK텔레콤의 627억원, 7.8%와 KT의 1021억원, 6.6%와 비교하면 상당히 낮은 수준이다.

LG유플러스는 이같은 문제를 내부에서도 인지하고 있고, 정보보호 투자 금액, 전담인력 비율 등과 관련한 종합대책을 마련 중이라고 해명했다.

[서울=뉴시스] 추상철 기자 = 9일 오후 서울 여의도 국회에서 과학기술정보방송통신위원회 전체회의가 열리고 있다. 2023.02.09. scchoo@newsis.com

이번 개인정보 유출 사태와 관련한 보상 문제에 대해서는 "좀더 검토하겠다"며 다소 미적지근한 반응을 보였다. 개인정보 유출로 이후 약정 계약을 해지하려 해도 위약금 때문에 해지가 어렵다는 지적에 대해서는 "위약금 문제도 좀더 검토하고 말할 수 있다. 고객센터를 통해 고객들에게 충분히 안내하고 있는 상황"이라고 강조했다.

이와 별개로 디도스 공격으로 인한 인터넷 접속 장애에 대한 금전적 손해 배상도 이뤄질 전망이다. LG유플러스는 1차적으로 소상공인을 대상으로 손해배상을 검토 중이다.

인터넷 접속 장애의 피해를 정면으로 받았던 PC방을 비롯한 소상공인 피해 보상 방안은 '요금 감면' 형태로 이뤄질 가능성이 크다. 다만 LG유플러스는 개인 고객 피해 보상에 대해서는 "전체적 원인 등을 조사한 다음에 대책을 세우겠다"며 말을 아꼈다.

정부, 특별조사점검단 통해 LGU+ 정보보호 체계 점검…디도스 원인 분석도 병행

LG유플러스가 자체적인 보상 대책을 마련하는 동시에 정부 또한 후속 대응에 나서고 있다. 과기정통부는 이번 LG유플러스 개인정보 대량 유출 사태를 중대침해사고로 판단하고 현장조사와 함께 민관합동조사단을 운영하고 있다. 지난 6일에는 보다 확실한 대응체계 검토 및 개선방안 도출을 위해 조사단을 '특별조사점검단'으로 확대 개편하기도 했다.

이를 통해 과기정통부는 LG유플러스의 전반적인 정보보호 침해 예방·대응 체계를 신속히 점검·분석하고, 조치방안과 개선대책을 마련하고 있다. 특히 디도스 공격IP 및 트래픽 분석 등 디도스 공격에 대한 원인분석도 진행 중인 상황이다.

LG유플러스에 대한 조사결과 발표 및 시정조치 요구는 오는 3~4월 중 이뤄질 예정이다. LG유플러스에 대한 시정조치 요구와 함께 주요정보통신서비스에서 유사 사고가 반복되지 않도록 하는 '침해사고 대응체계' 제도 개선도 추진된다.

이번 사례와 같은 해킹 피해로 인한 고객 손해가 발생할 경우 사업자의 보상 의무를 보다 명확히 하는 방안도 마련될 것으로 보인다. 현재 해킹을 비롯한 통신 장애 발생 시 약관상 손해배상은 '시간'을 기준으로만 하고 있는데, 이와 관련해 미흡한 부분을 보충한다는 것이다.

박윤규 과기정통부 2차관은 "지금 손해배상이 시간 기준으로 돼있는데 지적처럼 사례들을 분석한 뒤 시간이 기준에 미치지 못하더라도 손해가 확실한 경우에는 이용약관에 손해배상을 넣는 방법도 검토해보겠다"고 밝혔다.

◎공감언론 뉴시스 hsyhs@newsis.com