LG유플러스가 개인정보 유출 피해 규모 및 경위 파악에 난항을 겪는 가운데 관련 투자 및 인력 배치가 허술했다는 질타가 이어지고 있다. 추가로 외부 공격이 발생하면 또다시 속수무책으로 당할 수밖에 없는 구조라는 분석이 나온다. LG유플러스는 당초 지난달 10일 18만명의 개인정보가 유출됐다고 밝혔으나, 이달 6일 개인정보보호위원회 조사 결과 발표 이후 29만명으로 정정 발표했다. 중복 유출 등으로 인한 전체 피해 건수는 현재까지 59만건으로 집계됐다.
16일 과학기술정보통신부에 따르면 LG유플러스의 정보보호부문 투자액은 291억원(2021년 말 기준)으로 국내 통신 3사 중 가장 적다. 같은 기간 KT와 SK텔레콤의 정보보호부문 투자액은 각각 1021억원, 626억원이었다. LG유플러스의 정보보호부문 전담 인력 역시 내부인력과 외부인력을 포함한 91.2명으로 KT(335.8명), SK텔레콤(196.1명)보다 적은 것으로 나타났다.
전문가들은 LG유플러스가 보유 가입자 대비 대책이 소홀했다는 점에 주목하고 있다. 과기정통부의 무선서비스 통계에 따르면 지난해 12월 기준 전체 이동통신 가입자(회선)는 7699만2107명이었다. 통신 3사의 점유율은 각각 KT 22.7%, SK텔레콤 39.8%, LG유플러스 20.8%이었다. 최상명 다크트레이서 이사는 “일정 규모 이상의 기업이라면 정보보호부문에 어느 정도 비용과 인력에 투자해야 한다는 기대치가 있다”며 “LG유플러스는 LG그룹에 속해 있어 타사 대비 글로벌 인지도가 높은 편이다. 해커들이 쉽게 노릴 수 있다는 사실을 인지하고 준비했어야 한다”고 말했다.
최 이사는 이어 “이번 사태에서 가장 우려스러운 점은 LG유플러스가 언제, 어떻게, 얼만큼의 개인정보가 유출됐는지를 정확히 모른다는 데 있다”며 “통상 기업이 개인정보를 보관하는 곳은 몇군데 되지 않는다. 평소 관리가 소홀했다는 뜻으로 해석된다”고 덧붙였다. 그는 “LG유플러스는 정보보호부문 투자액과 전담 인력을 늘리는 것은 물론 전반적인 관리 체계를 재정비해야 한다”며 “경쟁사와 비교했을 때 기업 규모가 작아 상대적으로 취약할 수밖에 없다는 논리는 LG유플러스의 경우에 통하지 않을 것”이라고 했다.
일각에서는 LG유플러스가 중국 화웨이의 통신장비를 대거 사용한 것이 문제라는 지적도 나온다. 화웨이는 자사 통신장비에 백도어(인증을 받지 않고 통신망에 침투할 수 있는 수단)를 심었다는 의혹으로 미국 정부의 제재를 받고 있다. LG유플러스의 5G(5세대 이동통신) 기지국 통신장비 가운데 화웨이 장비 비중은 약 30%에 이르는 것으로 알려졌다. LG유플러스가 수도권에 구축한 5G 기지국 64tr(트랜스리시버) 장비도 화웨이 제품이다.
한 보안업체 관계자는 “중국 해커들이 화웨이의 통신장비를 놓고 해킹 방법을 연구했을 가능성을 배제할 수 없다”며 “그들 입장에서 화웨이의 통신장비는 자국 회사 제품인 만큼 구하기 쉽고 친숙한 존재일 것”이라고 했다.
홍석준 국민의힘 의원은 지난 9일 국회 과학기술정보방송통신위원회 전체회의에서 “LG유플러스만 유독 화웨이 통신장비를 많이 쓰고 있다. LG유플러스에서만 해킹 문제가 나오는 것과 관계가 있다고 생각한다”며 과기정통부에 화웨이 장비에 대한 전수조사를 요구하기도 했다. 당시 이종호 과기정통부 장관은 “그렇게 하겠다”고 답했다. LG유플러스는 이에 즉각 “화웨이와는 무관하다”는 입장을 밝혔다.
LG유플러스에서 유출된 정보는 개인마다 차이가 있으나 ▲신상정보(이름·생년월일·전화번호·주소 등) ▲단말기정보(단말모델명·유심번호·IMEI 등) ▲이용상품명 등 광범위하다. 인터넷에는 LG유플러스로부터 탈취한 개인정보를 판매한다는 글들이 최근까지 올라와 피해 규모가 더 커질 가능성도 거론된다.
통신업계 전반의 관리 부실도 도마 위에 오르는 분위기다. 과거 KT는 ▲2012년(영업시스템 해킹·870만명) ▲2014년(홈페이지 해킹·1200만명) ▲2016년(직원 실수·3000여건) 세 차례에 걸쳐 개인정보 유출을 겪은 바 있다. 임종인 고려대 정보보보호대학원 석좌교수는 “가상자산 시장이 활성화되면서 해킹이 돈이 되는 시대가 됐다. 통신사는 다량의 개인정보를 보유하고 있어 이들을 대상으로 한 공격 시도는 앞으로 폭발적으로 늘어날 것으로 예상된다”며 “통신 3사가 이제는 관련 투자를 확대하는 데에 그치지 않고 산학 협력 강화를 통한 인재 확보 등 선제적인 접근을 취해야 한다”고 했다.
한편 과기정통부는 지난달 개인정보 유출에 대한 LG유플러스의 신고를 접수하고 한국인터넷진흥원과 민관합동조사단을 발족했다. 지난 6일부터는 이를 특별조사점검단으로 확대해 운영 중이다. 과기정통부는 조사 결과를 토대로 3~4월 중 LG유플러스에 시정조치를 전달한다는 방침이다.