[FETV=신동현 기자] LG유플러스는 과거 수십만명의 개인정보가 유출되는 대규모 해킹 사고를 겪었다. 미숙한 보안 체제와 관리 부실 등으로 수년간 해킹 사실을 인지하지 못했던 LG유플러스는 CEO 직속 부서 신설과 AI 기술 도입 등을 통해 보안 체제를 대폭 강화했다.

2023년 LG유플러스에서 약 30만명의 인적사항과 유심 고유번호 등 개인정보가 유출되는 사고가 발생했다. 정부 조사에 따르면 침입차단시스템과 웹방화벽 등 기본적인 보안장비가 제대로 작동하지 않았고 이상행위 탐지 기능조차 갖추지 못한 상태였다.

해커는 이 정보를 불법사이트에 게시했고 이후 분석 결과 해당 데이터는 2018년 LG유플러스의 고객인증시스템(CAS)에서 유출된 것으로 확인됐다. CAS는 부가서비스 가입·해지 과정에서 고객 인증을 담당하는 시스템으로 당시 운영체제와 데이터베이스는 기술 지원이 종료된 채 수년간 방치돼 있었다.

LG유플러스는 해커가 정보를 공개한 2023년에 이르기까지 해당 시스템에서 정보가 유출됐다는 사실을 전혀 인지하지 못했다. 해킹 발생 시점과 유출 사실 인지 사이에 약 5년의 공백이 존재했던 것이다.

이 사건으로 LG유플러스는 68억원의 과징금과 2700만원의 과태료 처분을 받았다.

LG유플러스는 정보보호 전반에 걸쳐 대대적인 정비에 나섰다. 2022년 LG유플러스의 ESG보고서에 따르면 LG유플러스는 전국 매장과 협력업체를 대상으로 기초적인 보안 점검과 교육을 꾸준히 진행하는 등의 관리형 보안 체계를 운영했다.

당시 LG유플러스는 개인정보가 담긴 서류를 어떻게 보관해야 하는지 컴퓨터에서 고객 정보를 어떻게 지켜야 하는지 등을 1장짜리 교육자료로 정리해 전국 매장을 교육하는 '1-Paper 교육'을 진행하거나 월별 점검표, 연 1회 전문기관 정밀 실사 등의 방식을 채택햇다

그 외에도 해커가 실제 공격하는것처럼 꾸며진 이메일을 보내 반응을 체크하고 부족한 점을 보완하는 식의 모의훈련을 2회 진행했다.

해킹사건 이후 LG유플러스는 보안 체제를 전면 수정했다. 2023년 LG유플러스에서 발간한 정보보호백서에 따르면 LG유플러스는 118개 사이버안전혁신 과제를 수립하고 CEO 직속 사이버보안센터와 전담 혁신조직을 신설했다. 기존 3개 팀 체계는 11개 팀으로 늘렸고 정보보호 인력은 157명으로 기존 대비 40명을 추가했다.

예산도 크게 늘렸다. 2022년 당시 442억원이었던 정보보호예산은 2023년에 632억원으로 늘렸다. 전년 대비 약 43% 증가한 수치다.

기술 측면에서도 변화가 이뤄졌다. LG유플러스는 인공지능(AI)을 활용한 첨단 보안 기술을 본격적으로 도입했다. 해킹 징후나 이상 행동을 하는 컴퓨터를 실시간으로 찾아내고 빠르게 차단할 수 있도록 EDR(엔드포인트 탐지 및 대응) 기술을 도입했다. 보안 문제가 발생했을 때 사람이 일일이 조치하지 않아도 자동으로 경고를 보내고 대응하는 시스템인 'SOAR(보안 자동화 대응 체계)'도 적용해 작업 효율을 높혔다.

이와 함께 고객 보호 차원에서는 경찰청, KISA 등 외부 기관과 협력해 ‘고객 피해방지 분석 시스템’을 운영하고 있으며 고객이 자신의 개인정보가 언제, 어디에서, 어떤 방식으로 활용되는지를 직접 확인하고 관리할 수 있도록 ‘프라이버시 센터(Privacy Center)’도 구축 중이다. 이 시스템이 도입되면 고객은 각 서비스별로 본인의 동의 여부를 확인하고 직접 수정할 수 있게 된다.

LG유플러스 관계자는 “2023년 해킹 사고를 계기로 정보보호 투자를 대폭 확대하고 정보보안센터를 CEO 직속 조직으로 격상해 운영하고 있다”며 “조직 확대와 권한 강화 등을 통해 내부 보안 위협에 대한 대응 역량을 높이고 고객 보호에 만전을 기하고 있다”고 말했다.