【뉴스퀘스트=이태웅 기자】 올해 초 약 30만명의 이용자 정보가 유출된 사고의 원인이 정보보호 부문에 대한 LG유플러스의 부족한 투자 때문이라는 조사 결과가 나왔다.

이에 대해 LG유플러스는 보안 사고에 대해 다시 한 번 사과하며 보안 품질을 제고하기 위해 1000억원의 투자를 진행하고 있다고 밝혔다.

과학기술정보통신부는 27일 한국인터넷진흥원(KISA)와 함께 지난 1월 LG유플러스에서 발생한 사이버 침해사고의 원인을 분석하고 예방·대응 체계를 점검한 조치사항을 발표했다.

올해 초 LG유플러스를 대상으로 연이은 사이버 공격이 발생했고, 약 29만7000명의 고객정보가 유출됐으며 5차례 유선 인터넷 접속 장애가 일어났다.

과기정통부는 고객정보 유출 및 유선인터넷 장애의 공통적인 원인으로 정보보호 분야의 시스템 부족을 꼽았다.

과기정통부는 “LG유플러스는 고객정보 등이 포함된 대용량 데이터가 외부로 유출될 때 비정상 행위의 위험성을 실시간으로 감시하고 통제할 수 있는 자동화된 시스템이 없었던 것으로 조사됐다”고 설명했다.

유선인터넷 장애를 일으킨 디도스 공격과 관련해서는 “네트워크 각 구간에 침입 탐지·차단 보안장비가 없었고, 전사 IT 자원에 대한 통합관리 시스템이 부재했다”고 밝혔다.

아울러 전문 보안인력이 부족하고 정보보호 분야에 저조한 투자도 이번 보안 사고의 원인으로 분석됐다.

과기정통부는 “핵심 서비스와 내부정보 등을 보호하기 위한 전문인력이 부족하고 정보보호 조직의 권한과 책임도 미흡했다”며 “무엇보다 타 통신사 대비 보안투자가 상대적으로 저조한 것도 LG유플러스의 침해 예방·대응 체계 수준과 관련이 있는 것으로 판단된다”고 했다.

과기정통부에 따르면 지난해 통신3사의 정보보호 투자액과 인력은 ▲KT 1021억원·336명 ▲SK텔레콤(SK브로드밴드 포함) 860억원·305명 ▲LG유플러스 292억원·91명 순으로 나타났다.

이에 과기정통부는 LG유플러스에 정보관리 시스템을 도입해 정보보호 체계를 개선하고 다른 이동통신사와 대등한 수준 이상으로 정보보호 분야에 투자를 확대하라고 요구했다.

LG유플러스는 이번 조사 결과에 대한 입장문을 통해 다시 한 번 사과하며 재발방지를 약속했다.

LG유플러스는 “사고 발생 시점부터 사안을 심각하게 받아들이고 있다”며 “과기정통부의 원인 분석 결과에 따른 시정 요구사항을 전사적인 차원에서 최우선으로 수행할 예정”이라고 했다.

이와 관련해 LG유플러스는 지난 2월 대표 직속 사이버안전혁신추진단을 구성하며 ▲사이버 공격에 대한 자산 보호 ▲인프라 고도화를 통한 정보보호 강화 ▲개인정보 관리 체계 강화 ▲정보보호 수준 향상 등 4대 핵심 과제에 102개 세부 과제를 선정해 진행하고 있다.

이를 위해 1000억원 규모의 투자도 진행하고 있다는 점도 강조했다.

또한, LG유플러스는 “사고 직후 즉시 개선이 가능한 부분을 조치 완료했다”며 “IT 통합자신관리시스템, 인공지능(AI)을 적용한 모니터링, 중앙 로그 관리 시스템, 통합관제센터 구축에 대한 세부 과제도 착수했다”고 말했다.

아울러 LG유플러스는 외부 전문가 그룹으로 구성된 정보보호 자문위원회를 본격 가동하며 관련 조직 개선 및 전문인력 육성 등도 병행하고 있다고 거듭 강조했다.

끝으로 LG유플러스는 “전사적인 정보보호 강화 활동을 지속할 예정이며 진행 상황을 단계별로 공개하고 종합적 보안 대책을 추후 상세히 설명하겠다”며 “뼈를 깎는 성찰로 고객들에게 더 깊은 신뢰를 주는, 보안·품질에 있어 가장 강한 회사로 거듭나겠다”라고 밝혔다.