LG유플러스, “정보보호 투자 부족” 지적에 “1천억 투자해 전사적 대응” 입장

[한국정경신문=박진희 기자] 디도스 공격에 따른 대규모 개인정보 보호 유출 사고를 낸 LG유플러스가 “개인 정보 보호에 대한 투자가 부족한 탓에 벌어진 일”이라는 과학기술정보통신부(과기부)의 지적을 겸허히 받아들이고 대규모 투자를 약속했다.

27일 LG유플러스는 “사고 발생 시점부터, 사안을 심각하게 받아들이고 있으며 과학기술정보통신부의 원인 분석 결과에 따른 시정 요구사항을 전사적인 차원에서 최우선으로 수행할 예정”이라고 밝혔다.

이날 과기정통부는 광화문 정부서울청사에서 브리핑을 열고 ‘LG유플러스 정보 유출·접속 장애 사고 원인과 조치방안’을 발표했다.

과기정통부는 한국인터넷진흥원과 고객정보 유출 사고 원인을 분석한 결과, 고객인증 시스템에 암호, DB(데이터베이스) 접근제어 미흡 등의 취약점이 있었던 것으로 확인했다. 또 대용량 데이터 이동 등 실시간 탐지체계가 없었던 것도 고객정보 유출의 원인으로 지목됐다.

과기정통부는 고객정보 유출, 인터넷 접속장애 두 사고 모두 LG유플러스의 미흡한 정보보호 투자에서 비롯됐다고 결론을 내렸다.

이에 대해 LG유플러스는 “지난 2월 CEO 직속의 사이버안전혁신추진단을 구성하고 ▲사이버 공격에 대한 자산 보호 ▲인프라 고도화를 통한 정보보호 강화 ▲개인정보 관리 체계 강화 ▲정보보호 수준 향상 등 4대 핵심 과제에 102개 세부 과제를 선정해 수행하고 있다”다고 밝혔다. 실제 LG유플러스는 이를 위해 1000억 규모의 대규모 투자를 진행하고 있다.

사고 직후 개인정보 보호 및 디도스 방어를 위한 긴급 진단과 보안 장비(IPS, Intrusion Protection System) 및 솔루션을 도입하기도 했다. 클라우드를 활용한 서비스의 긴급 점검, 접근제어 정책(ACL, Access Control List) 강화 등 즉시 개선이 가능한 부분들을 조치 완료했다는 게 LG유플러스의 입장이다.

회사는 IT 통합 자산관리 시스템, AI 첨단기술을 적용한 모니터링, 중앙 로그 관리 시스템, 통합관제센터 구축에 대한 세부 과제도 착수했다.

또 화이트 해커 등 외부 전문가를 활용한 취약점 점검 및 기술적 예방활동 강화, AI기반 개인정보 탐지 시스템 구축, IT서비스 이상행위 모니터링 시스템 고도화를 위해 세부 과제를 수립하고 추진 중이다. 외부 전문가 그룹과 협력해 현 보안 수준을 점검하고 향후 개선방향 도출을 위한 자체 진단도 진행하고 있다.

더불어 외부 전문가 그룹으로 구성된 정보보호자문위원회를 본격 가동하고, 회사 내 CISO, CPO 조직 개선과 전문 인력투자, 개인정보의 관리체계 개선, 미래보안기술 연구투자, USIM 무상 교체, 피해보상협의체 운영, 대학 및 교육기관과 연계된 사이버 보안 전문인력 육성 등도 함께 이행해 나가고 있다.

LG유플러스는 “새롭게 임명되는 CISO, CPO를 주축으로 개인정보를 비롯한 전사적인 정보보호 강화 활동을 지속할 예정”이라면서 “진행상황은 단계별로 투명하게 공개하고, 종합적 보안 대책은 추후 상세히 설명하는 시간을 갖겠다”고 전했다.