침해사고/위협동향

[단독] LGU+ 개인정보유출, 18만명?…해커, "3000만건 데이터 보유"

이종현


[디지털데일리 이종현기자] 국내 3위 이동통신사업자인 LG유플러스의 개인정보 유출이 사실로 드러났다. 10일 공지사항으로 이를 알렸는데, 지난 3일 <디지털데일리> 최초 보도 <LG유플러스 데이터 또 유출됐나··· 해커 “사용자 데이터 2000만건 판매” (2023.01.03)>후 침묵을 지킨 지 1주일 만의 공표다. 다만 유출 규모에는 의문점이 남는다. LG유플러스는 18만명의 개인정보가 유출됐다고 밝혔으나 이를 훔쳐낸 해커는 ‘3000만건의 LG 데이터를 갖고 있다’고 말한다.

<디지털데일리>는 지난 2일 해킹포럼에서 LG의 데이터를 판매한다는 게시글을 확인했다. 해당 판매자는 1월 1일 글을 게시했는데, 실제 데이터임을 입증하기 위해 생년월일, 전화번호, 이메일주소, 휴대전화 모델명 등을 샘플 자료로 함께 업로드했다.

게시글에서는 LG라고만 표기할 뿐 구체적으로 어떤 기업의 데이터인지를 알리지 않았는데, 휴대전화 모델명은 이동통신사업자가 아닌 경우 고객 데이터로 수집하지 않기 때문에 LG유플러스가 의심 대상에 올랐다.

구체적으로 어떤 기업의 데이터인지 파악하기 위해 해커와 접촉했는데, 해커는 텔레그램을 통해 <디지털데일리>에게 통신(Telecom) 데이터라고 답했다. 국내 기업의 사정을 잘 모르는 외국 해커인 탓에 ‘LG 데이터’라고 말한 것으로 예상된다.

1월 1일 해킹포럼에 업로드됐던 게시글. 해당 게시글은 2일 저녁 삭제된 상태다.
1월 1일 해킹포럼에 업로드됐던 게시글. 해당 게시글은 2일 저녁 삭제된 상태다.

사건 인지 후 한국인터넷진흥원(KISA)과 개인정보보호위원회(이하 개인정보위)에 침해사고 신고를 접수했다. LG유플러스는 공지사항을 통해 지난 2일 피해를 인지했고 이튿날 경찰 사이버수사대와 KISA에 신고했다고 밝혔는데, <디지털데일리>가 최초 제보한 것으로 추정되는 대목이다.

해커는 3일 돌연 게시글을 삭제했는데, 누군가 해당 정보를 사고 싶어서라고 말했다. 또 <디지털데일리>에 추가적인 샘플 데이터를 공개하기도 했는데, 보내온 엑셀파일 내부에는 휴대전화번호, 이름, 우편번호, 집주소, 생년월일, 휴대전화 모델명, 이메일주소, 맥(MAC) 어드레스, IMSI, 유심번호, 전화일련번호 등이 일체의 암호화 없이 고스란히 담겨 있었다.

최초 게시글에서 해커는 2000만건 이상의 데이터를 갖고 있다고 밝혔다. 그리고 보유 중인 모든 데이터를 6비트코인(BTC)에 판매한다고 했는데, 부분 데이터를 구매할 수도 있다고 전했다.

그러나 취재 과정에서 해커는 구체적으로 3000만건의 데이터를 갖고 있다고 말했다. 훔쳐낸 데이터의 양은 19.4기가바이트(GB)로, 총 50개 엑셀파일이다. 엑셀파일 1개당 약 400메가바이트(MB), 59만9000행으로 구성돼 있다. 이와 같은 파일이 50개다. 실제 훔쳐낸 데이터가 3000만건이라는 주장을 뒷받침하는 증거다.


문제는 LG유플러스가 밝힌 18만명과 해커가 훔쳐냈다고 말하는 3000만건에는 큰 차이가 있다는 점이다.

이와 관련 LG유플러스 측은 “파악한 것이 18만명이며 나머지 데이터는 고객 데이터인지, 다른 데이터인지 등을 알 수 없는 상태”라고 답했다. 유출 데이터는 ‘최소’ 18만명이며, 그 숫자는 지속해서 늘어날 수도 있다는 의미다.

다만 구체적인 숫자에는 의문부호가 달린다. 과학기술정보통신부(이하 과기정통부)가 발표한 11월 LG유플러스 가입자 수는 1595만6201명이다. 유출 규모가 가입자 수보다 훨씬 많다.

서로 다른 데이터가 혼재해 있을 가능성도 배제할 수 없다. 실제 해커가 최초 샘플로 공개한 정보, LG유플러스가 공지한 유출 정보 내역, <디지털데일리>가 확인한 유출 내역은 서로 차이를 보인다.

최초 해커의 판매 게시글에는 의미를 알 수 없는 단어나 암호화된 듯한 내용이 일부 확인됐다. 보험 상담을 한 듯한 내용들도 기재됐다. 이후 해커가 추가적으로 알려온 자료는 암호화 흔적 없이 깔끔하게 정리된 엑셀 파일이다. 그러나 LG유플러스는 유출 피해자들에게 고객번호, 성명, 우편번호, 주소, 생년월일, 전화번호, 암호화된 주민번호, 고객정보 변경시간, 이메일, 가입일, 웹아이디, 이용상품명 등이 유출됐다고 안내했다.

해커가 훔쳐냈다고 주장하는 LG유플러스 고객 데이터. 암호화 없이 데이터 전반이 담겨있다.
해커가 훔쳐냈다고 주장하는 LG유플러스 고객 데이터. 암호화 없이 데이터 전반이 담겨있다.

유출 규모가 큰 만큼 보유 중인 데이터 전반과 탈퇴자에 대한 정보의 유출 가능성도 배제하기 어렵다.

이번 유출로 인한 문제는 한둘이 아니다. 우선 LG유플러스는 현재까지 18만명의 개인정보가 유출됐다고만 할 뿐, 추가 유출 가능성에 대해서는 언급하지 않았다. 최초 LG유플러스의 데이터를 훔쳤다는 해커의 주장이 사실로 드러난 현재, 아무런 증거 없이 유출 규모가 18만명이라고 단정할 수는 없다.

유출이 된 배경도 문제다. LG유플러스는 어떤 경로로 유출됐는지 전혀 알 수 없다고 말한다. 이는 유출 이후로도 보안조치가 이뤄지지 못했음을 시사한다. 실제 해커는 <디지털데일리>에게 자신이 매월 데이터를 업데이트 할 수 있다고 강조했다. 훔쳐낸 뒤 빠져나온 것이 아니라 어딘가 내부 데이터에 접근할 수 있는 ‘통로’가 있는 것은 아닌지 의심된다.

정보유출이 첫 사례가 아니라는 것 역시 비판의 대상이다. <디지털데일리>는 2021년 12월에도 LG유플러스의 임직원 데이터 유출을 최초 보도했다. 13개월 만에 같은 수순을 되풀이하는 중인데, 당시 보도 역시 사실로 판명났다. LG유플러스는 2022년 9월 개인정보위로부터 과태료를 부과받았다.
2022년 9월 개인정보보호위원회 의결서 내용 중 일부. LG유플러스는 2021년 12월 LG유플러스는 앞서 개인정보유출을 겪은 바 있다. 당시 <디지털데일리>가 최초 보도한 뒤 조사가 이뤄졌다.
2022년 9월 개인정보보호위원회 의결서 내용 중 일부. LG유플러스는 2021년 12월 LG유플러스는 앞서 개인정보유출을 겪은 바 있다. 당시 <디지털데일리>가 최초 보도한 뒤 조사가 이뤄졌다.

경쟁사 대비 유독 적은 사이버보안 투자도 눈길을 끈다. 각 기업들이 밝힌 정보보호공시에 따르면 LG유플러스는 2019년부터 2021년까지 214억원, 229억원, 291억원을 투자해왔다. 이는 동기간 KT의 971억원, 989억원, 1021억원 대비 크게 낮다. SK텔레콤과 SK브로드밴드는 합해서 651억원, 753억원, 859억원을 투자해왔다.

LG유플러스의 적은 정보보호 투자는 이동통신 3사 중 가장 매출액이 적다는 것으로는 해명되지 않는다. 3사 중 정보보호에 가장 많이 투자하고 있는 KT는 2019년부터 2021년까지 매출액 대비 정보보호에 0.53%, 0.55%, 0.55% 등을 투자했다. SK텔레콤과 SK브로드밴드는 합해서 0.44%, 0.48%, 0.53%를 투자했다. 반면 LG유플러스는 0.17%, 0.18%, 0.22% 등이다. 경쟁사와 비교했을 때 매출액 대비 정보보호 투자액이 절반에도 못미친다.

최악의 경우 LG유플러스의 가입자 및 최근 탈퇴자 데이터가 모두 유출됐을 수 있다. 또 해커가 실시간으로 LG유플러스 고객정보를 들여다 볼 가능성도 배제할 수 없다. 신규 가입자들의 데이터 역시 안전하지 못할 수 있다는 얘기다.

피해자에 대한 보상도 이뤄지기 어려울 것으로 보인다. 2016년 개인정보 유출 사고가 발생했던 인터파크의 경우 그해 소송이 진행됐고 5년 뒤인 2021년 1인당 10만원을 지급하는 것으로 마무리됐다. 1000만명 이상의 피해자 중 보상을 받은 것은 5년 동안 소송 과정에 함께한 2400여명이다.

LG유플러스 관계자는 유출에 대해 “고객분들께 걱정을 끼쳐드려 죄송하다. 회사는 고객 정보가 유출된 정황을 확인, 이를 관계기관에 신고하고 해당 고객들에게 안내 중이며, 홈페이지를 통한 조회 시스템도 운영 중이다. 향후 신속한 조사가 이뤄질 수 있도록 관계기관의 조사에 적극 협조토록 하겠다”고 말했다.

이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널