LG U+, 유출 경로 파악 위해 개인정보 판매자 접촉

▲LG U+ CI.

[에너지경제신문 정희순 기자] LG유플러스가 개인정보 유출 사건과 관련해 보안협력업체를 통해 개인정보 판매자와 접촉한 것으로 파악됐다.

14일 관련업계에 따르면 LG U+는 지난달 3일 개인정보 유출 사건을 한국인터넷진흥원(KISA) 등에 신고한 후 이튿날 보안협력업체를 통해 개인정보 판매자와 접촉했다.

LG U+ 측은 "추가 유출 방지를 위해 보안협력업체를 통해 판매자에게 소액을 지급하고 액세스 정보(유출 경로)를 입수했지만 무의미한 정보였다"고 밝혔다.

보안업계에 따르면 액세스 정보는 개인정보 유출 경로를 파악하는 데 핵심적인 사항이다. 기업 입장에서는 이 정보를 신속하게 파악해 고객 보호는 물론 또 다른 피해를 방지하는 것이 급선무이기 때문이다.

LG U+는 개인정보 판매자로부터 59만건의 데이터를 전달받아 자료를 분석했고, 중복 유출 등을 제외한 개인정보 유출 피해자를 29만명 정도로 추산하고 있다.

LG U+측은 "앞서 받은 고객정보 59만건은 ‘2000만 건의 고객정보를 가지고 있다’고 주장하는 판매자가 샘플로 제공한 것"이라며 "샘플 확보에 따른 금전적인 지불은 없었다"고 강조했다.

보안업계에서는 개인정보 판매자의 주장이 신빙성이 떨어진다는 분석이 나온다. 개인정보 판매자는 당초 2000만건의 개인정보를 판매한다고 글을 올렸다가 최근 3000만건을 판매하겠다며 입장을 번복했다. 또 해커는 개인정보 3000만건에 6비트코인(약 1억3000만원)을 요구하고 있는데, 이는 다른 유출정보 판매 사례와 비교했을 때 낮은 가격에 해당한다. 앞서 세계 최대 정육회사 JBS는 랜섬웨어 공격으로 해커에 1100만달러(약 121억원) 상당의 비트코인을 지불했고, 이달 이스라엘 테크니온 대학교는 랜섬웨어 공격으로 80비트코인(약 22억원)을 요구받았다.

업계 관계자는 "개인정보 판매자가 자신의 존재를 과시하기 위해 게시글을 반복적으로 올리고 있다"며 "데이터 판매를 위해 올린 텔레그램 등에 올린 해커의 일방적인 주장을 사실관계 확인 없이 그대로 노출하는 것은 소비자 불안을 가중시킬 수 있어 주의가 필요하다"고 밝혔다.

한편 이번 사건과 관련해 주무 부처인 과학기술정보통신부는 LG U+에 공식 경고하고 KISA(한국인터넷진흥원)와 특별 조사에 나섰으며, 이를 토대로 3∼4월 중 조사 결과를 발표하고 LG유플러스에 시정 조치를 요구할 계획이다.


hsjung@ekn.kr