[출처: 해킹포럼]


빅데이터가 모든 것을 바꾸고 있는 세상이다. 방금 내가 검색한 상품이 내 정보와 결합되어 새로운 제품을 추천해 준다. 내 나이, 성별, 직장 등이 금융정보와 결합되면 신용등급까지 자동으로 책정된다. 개인정보는 점점 글로벌 기업이 핵심 경쟁력을 위한 필수요소로 자리매김하고 있다. 이 때문에 회원가입 과정에서 개인정보를 자세하게 얻으려는 기업과 적게 노출하려는 사용자의 의사가 충돌하는 사례까지 있었다.

그런데 이런 중요한 개인정보를 수집해간 기업이 막상 제대로 지켜주지 못한다면? 내부자가 정보를 빼돌려 팔거나 외부 해커가 쉽게 정보를 탈취해간다면 과연 사용자가 그런 기업을 믿고 서비스를 이용할 수 있을까? 아마도 사용자 대부분은 그러지 못할 것이다.

국내 3대 이동통신사 가운데 하나인 LG유플러스에서 18만 명에 달하는 고객 개인정보가 유출돼 경찰이 수사에 나섰다. 지난 10일 LG유플러스는 홈페이지 공지사항을 통해 일부 고객의 개인 정보가 유출된 사실을 인지했다면서 사과했다. 유출된 개인정보는 주로 성명, 생년월일, 전화번호 등이다. LG유플러스에 따르면 납부와 관련된 민감한 금융정보는 포함돼 있지 않다고 한다.

LG유플러스는 지난 2일 개인정보 유출 사실을 파악했으며 다음날 경찰 사이버수사대와 한국인터넷진흥원(KISA)에 수사를 의뢰했다. 그러면서 모니터링 시스템을 강화하고 재발 방지 대책을 마련할 예정이라고 설명했다. 개인정보가 유출된 고객들에게 문자와 이메일 등을 통해 알리고 있으며 회사 홈페이지를 통해 개인정보 유출 여부 및 유출 항목을 조회할 수 있도록 조치했다.

조치 자체는 비교적 깔끔한 편이다. 외부로부터의 범죄이기에 최소한 고의는 아니며 내부자의 소행도 아니기에 관리감독의 책임을 묻기 어려운 면도 있다. LG유플러스는 10일 홈페이지를 통해  소중한 정보가 부적절하게 이용될 수 있으니 유의해주기 바란다고 공지했다. 그런데 과연 이것이 그냥 이렇게 고개 한번 숙이는 것으로 넘어갈 만큼 가벼운 과실일까?

이번 개인정보 유출건은 새해 초인 1월 1일부터 터져나왔다. 해킹포럼에 LG의 사용자 정보 데이터를 판매한다는 게시글이 올라왔는데 판매자는 데이터 규모를 2000만건 이상이라고 말했다. 샘플 데이터도 공개했는데, 여기에는 생년월일과 전화번호, 이메일주소, 휴대폰 모델명도 포함됐기에 LG유플러스의 데이터로 추정됐다. 

판매자는 2000만건의 데이터를 6비트코인(약 1억 2720만원)에 판매하겠다고 했는데 1건당 6원 꼴이다. 물론 판매자가 업로드한 데이터가 실제 유출 데이터인지도 모르며 과거 유출된 데이터를 재유포하는 것일 수도 있었다. 실제로 LG유플러스가 주장하는 대로 이번 유출된 건이 18만건이라면 나머지는 거짓이거나 이전 데이터일 것이다. 

그러나 문제는 LG유플러스가 이번에도 또 해커에게 개인정보를 탈취당했다는 점이다. LG유플러스는 2021년 12월에 해당 해킹포럼의 전신인 웹사이트에서도 직원 데이터 유출을 당했다. 국내 통신사 가운데 이상하게도 계속 LG유플러스에게만 개인정보 유출 피해가 집중되고 있는 것이다. 

때문에 일부에서는 LG유플러스가 개인정보보호를 위한 보안 기술 투자가 적기 때문 아니냐는 지적이 나오고 있다. 실제로 지난 3년간 SKT와 KT는 매출액 대비 정보보호에 0.5%정도를 투자했는데 LG유플러스는 0.2% 수준만 투자한 것으로 나타났다. 투자가 적으면 당연히 허술해지고 사고가 터지기 마련이다. 

LG유플러스는 "고객들에게 심려 끼쳐 드린 점에 대해 고개 숙여 사과의 말씀을 드린다"고 밝혔다. 사과도 안하는 것보다는 사과하는 자세는 나쁘지 않다. 그러나 그보다 중요한 것은 이런 일이 계속 반복되지 않는 것이다. 진정으로 미안하다면 말보다는 행동이 있어야 한다. 지금 소비자가 바라는 것은 행동없는 사과가 아니다. LG유플러스는 사과가 아닌 보안기술 투자를 해야 한다.