황현식 LG유플러스 대표. (사진=LG유플러스)
[한국정경신문=김명신 기자] LG유플러스가 ‘사이버 안전혁신안’을 내놓은 지 넉 달이 지났다. 최초 개인정보 유출 시점으로는 5개월을 넘겼다. LG유플러스는 사이버안전혁신추진단(TF)을 구성하고 정보보호자문위원회 설치, 사이버 보안 실무형 전문가 영입 등 ‘국민과의 약속’을 지키기 위한 속도를 내고 있다.
LG유플러스는 지난 1월 개인정보 유출과 디도스(분산서비스 거부 공격·DDoS) 공격 등으로 홍역을 치렀다. 1분기 영업이익은 케펙스(CAPEX·설비투자) 비용 증가로 영업이익이 악화(2602억원, 전년 동기 대비 -0.4%)됐다. 보상과 정보보호 강화를 위한 비용 증가로 이익이 감소했다는 분석이 나온다.
여명희 LG유플러스 최고재무책임자(CFO)겸 최고리스크책임자(CRO)는 지난달 11일 올 1분기 실적발표 컨퍼런스콜에서 케펙스 비용 관련 “정보보호 관련 투자가 증가하겠지만 효율적 투자를 위해 연간 케펙스는 전년과 유사한 수준으로 집행할 것”이라고 밝힌 바 있다.
사태 이후 LG유플러스는 크게 4가지 개선안을 중심으로 한 ‘사이버 안전혁신안’을 내놨다. 보안 역량 강화에 1000억원 규모의 투자 단행, 선진 보안 장비 도입, 사이버 보안 전문가 영입 등이 골자다. LG유플러스는 ‘사이버 안전혁신안’을 바탕으로 순차적인 대응을 진행하고 있다는 입장이다.
■ “1천억 투자” 황현식 대표 내세운 ‘사이버 안전혁신안’ 이행 중
14일 업계에 따르면 LG유플러스는 최근 신임 최고정보보호책임자(CISO)로 사이버 보안 전문가인 홍관희 전무를 영입했다.
황현식 LG유플러스 대표는 개인정보 유출 사태 후 지난 2월 고객 신뢰회복을 위한 ‘사이버 안전혁신안’을 내놨다. 정보보호 투자액 1000억원 규모로 확대, 전사 최고정보보호책임자(CISO)와 개인정보보호책임자(CPO) 등 보안 전문가 영입 등이 골자다. 이번 홍관희 전무 영입은 그 일환이다.
LG유플러스는 지난 1월 총 29만명의 고객 개인정보가 유출되는 사고를 냈다. 디도스 공격으로 총 5차례 네트워크 오류도 발생했다. LG유플러스에 따르면 자사 고객 29만 명의 이름, 주소, 생년월일, 단말기 고유번호(IMEI), 이메일, 암호화된 주민번호 등의 개인정보가 유출됐다.
보안의 허점을 드러내면서 대국민 뭇매를 맞은 LG유플러스는 2월 16일 황현식 대표와 경영진이 나서서 공식 사과 하면서 보안 강화에 전사적으로 대응할 계획을 밝혔다. 바로 ‘사이버 안전혁신안’이다. 주요 내용은 정보보호 조직·인력·투자 확대, 외부 보안전문가와 취약점 사전점검·모의 해킹, 선진화된 보안기술 적용과 미래보안기술 연구·투자, 사이버 보안 전문인력 육성, 사이버 보안 혁신 활동 보고서 발간 등이다.
특히 보안 역량 강화를 위해 관련 투자를 1000억원으로 집중투자한다는 계획을 밝혔다. 황 대표는 “2~3년 안에 미래준비를 위한 투자까지 고려하면 1000억원 정도가 필요할 것이라고 추산한다”고 말했다. 한국인터넷진흥원(KISA)의 2022 정보보호 공시 현황 분석보고서에 따르면 지난해 LG유플러스의 보안 관련 투자는 총 292억원으로 집계됐다. 3배 수준으로 끌어올리겠다는 계획을 내놓은 셈이다. 그러나 일각에서는 같은 기간 SK텔레콤 627억원, KT는 1021억원을 보안 관련 투자한 것에 비해 현저히 낮은 투자 집행을 지적하기도 했다.
사건 발생 2개월이 지난 4월 27일 과학기술정보통신부는 한국인터넷진흥원(KISA)과 ‘LG유플러스 침해 사고 원인 분석 및 조치 방안’을 발표하면서 사태 원인으로 외부 공격을 감시 통제하는 장비, 시스템 부재, 라우터(인터넷 통신 연결 장치)간 접근제어 정책 미흡, 경쟁사 대비 부족한 정보보호 인력·조직, 저조한 정보보호 투자 등을 꼽았다. 과기정통부에 따르면 2018년 6월에 생성된 29만7117명의 LG유플러스 고객 정보가 고객인증 시스템에서 유출됐다.
앞서 과기정통부는 LG유플러스의 고객 정보 대량 유출 사건을 중대한 침해 사고로 판단해 KISA와 외부 전문가를 포함한 ‘민관합동조사단’을 구성했고 이후 기존 조사단을 ‘특별조사점검단’으로 개편해 심층적인 조사와 점검을 진행했다.
과기정통부는 LG유플러스에 분기별 1회 이상 모든 정보기술(IT) 보안 취약점을 점검·제거하고 IT 자산통합관리시스템 도입, 비정상적인 접근에 실시간 대응할 수 있는 감시체계 구축, 전문 보안 인력과 정보보호 투자 보강, 정보보호책임자(CISO·CPO)를 CEO 직속 조직으로 강화하도록 지시했다.
이종호 과기정통부 장관은 “LG유플러스에 대한 조사 및 점검 결과 여러 가지 취약점이 확인됐고, LG유플러스에 책임 있는 시정 조치를 요구했다”고 말했다. 지난달 취임 1년 발언에서도 LG유플러스 사태 등을 언급하며 “많은 국민들께서 통신서비스 이용에 큰 불편을 겪으셨다. 최근 발표한 재발방지 대책들이 현장에 잘 적용될 수 있도록 세심한 주의를 기울이겠다”고 밝혔다.
LG유플러스 관계자는 “정부의 시정 조치와 관련해 회사 측은 이를 수용해 진행 중”이라면서 “기술적 조치 방안은 디도스 공격 방어 장비인 IPS 도입 등을 통해 선제적으로 대응한 상태다. 관리적 조치 역시 CISO 등 채용과 함께 정보보호를 담당하는 인력을 추가 채용하는 등 확대하고 있다”고 말했다.
이어 “시스템 도입은 전문가들과 모의 해킹도 진행할 예정으로, 보안 점검은 상시적으로 진행해야 하는 부분이어서 교육과 전문인력 배치 등 준비해야 할 부분이 많다”면서 “권고한 제로트러스트 방식의 보안 점검이나 관리체계 강화 측면은 올해 순차적으로 도입하려고 한다. 아직은 진행 중”이라고 덧붙였다.
특히 개인정보 유출 건과 관련해 “이번 유출 정확한 경로는 민관합동조사로도 찾지 못했다. 2018년경에 보안전문업체를 통해 점검을 받았던 기록을 바탕으로 추정되는 것을 발표한 것”이라면서 “회사 측에서 2018년에 이미 선 조치한 부분이다. 특히 서버에 ID 패스워드 기본값으로 했다는 점 등은 이미 2018년에 개선이 된 부분인데 5년 후 다시 언급한 것이라는 점을 분명히 말씀드린다”라고 해명했다.
(사진=연합뉴스)
■ 보안 점검·관리체계 강화 ‘아직’…CPO 영입도 ‘준비 중’
정부의 시정 요구에 대해 LG유플러스는 즉각 수용의 뜻을 밝히면서 ‘사이버 안전혁신안’을 골자로 한 실천 의지를 표명했다. 전사적인 차원에서 최우선으로 이행하겠다는 입장이다.
LG유플러스에 따르면 지난 2월 최고경영자(CEO) 직속의 사이버안전혁신추진단을 구성했다. 사이버 공격에 대한 자산 보호를 비롯해 인프라 고도화를 통한 정보보호 강화, 개인정보 관리 체계 강화, 정보보호 수준 향상 등 4대 핵심 과제를 수행 중이라는 설명이다.
외부 전문가 그룹으로 구성된 정보보호자문위원회도 출범시켰다. LG유플러스는 지난 5월 사이버 보안 분야의 외부 전문가들로 구성된 ‘정보보호자문위원회’를 발족시키고 보안 문제와 현안 점검, 정부의 시정 요구사항에 대한 개선과제의 방향성, 투자·인력·모의훈련·교육 등 실행 계획에 대해 논의했다고 밝혔다.
또한 전사정보보호·개인정보보호책임자(CISO·CPO)를 대표 직속 조직으로 강화했다. 전문 인력투자, 개인정보의 관리체계 개선, 보안수준 강화방안을 마련하는 ‘제로 트러스트 아키텍처’ 등 최신 기술로 전사적인 보안수준을 향상시키겠다는 복안이다.
그 일환으로 최근 신임 최고정보보호책임자(CISO)로 사이버 보안 전문가인 홍관희 전무를 영입했다. LG유플러스에 따르면 신임 CISO 홍관희 전무는 25년간 통신, 금융, 유통, 게임 등 다양한 분야의 산업에서 정보보호와 개인정보 관리 체계를 구축한 실무형 전문가다. 한국인터넷진흥원(KISA)에 재직하며 정보유출·침해사고에 대응한 경험으로 사이버 보안 전반에 높은 이해도를 갖춘 것으로 평가받고 있다고 회사 측은 전했다.
홍관희 CISO는 “고객경험혁신을 위해 사이버 보안 역량 강화에 많은 투자와 관심을 기울이고 있는 LG유플러스에 합류해 막중한 책임감을 느낀다”며 “통신서비스의 보안을 강화하는 것을 넘어 LG유플러스가 선진적인 사이버 보안 체계를 갖추도록 힘쓰겠다”고 말했다.
LG유플러스는 전사 사이버보안역량을 강화하기 위한 ‘사이버 안전혁신안’을 지속적으로 이어간다는 계획이다. 또한 이달 중 개인정보보호최고책임자(CPO) 선임도 마무리할 예정이다.
LG유플러스는 관계자는 “지난 2월 CEO 발표를 통해 관리적 방안과 기술적 조치 두 갈래로 나눠 ‘사이버 안전혁신안’을 발표했다. 정보보호 투자액을 연간 300억원에서 1000억원으로 확대하기로 했으며 컨설팅이나 전문기관의 자문 차원으로 정보보호위원회를 출범시켜 의견을 수렴하고 있다. AI를 활용해 보안 위협에 대응해야 한다는 목소리에 선진 기술을 검토해 도입하겠다는 입장이다. 전문 인력을 육성하기 위해 최근 숭실대와 협력해 ‘정보보호학과’를 신설하기로 했다”고 말했다.
그러면서 “회사 측에서 중요하게 보는 부분 중 하나가 정보보호·개인정보보호책임자(CISO·CPO) 선임 건이다. 하지만 보안부문 자체가 전문인력이 많이 부족한 상태다. 홍관희 전무 영입의 경우 사고 대응 경험 등 적임자로 판단해 영입한 것”이라면서 “CPO 영입은 상반기 계획 중으로 아직은 진행 중인 사안”이라고 전했다.
LG유플러스 측은 “TF와 정보보호자문위는 ‘사이버 안전혁신안’이 잘 자리 잡을 때까지 지속적으로 활동하고 운영될 예정”이라고 밝혔다.
저작권자 <지식과 문화가 있는 뉴스> ⓒ한국정경신문 | 상업적 용도로 무단 전제, 재배포를 금지합니다.