LG유플러스 개인 정보 유출 사태 때문에 2023년 연초부터 업계가 들썩이고 있다.
해킹포럼에 LG유플러스의 사용자 정보 데이터를 판매한다는 게시글이 업로드되며 이를 접한 LG유플러스 사용고객들은 충격에 빠졌다. 해킹피해 데이터 규모가 2000만 명 이상이라는 보도 내용을 뒷받침하는 LG유플러스의 개인 정보 유출 사실을 공식 인정하는 내용이 발표되며 고객들의 불안감은 한층 더 해졌다.
당시 LG유플러스가 유출됐다고 밝힌 개인정보 규모는 18만명이었으나, 2월 3일에는 "해지 고객 11만명의 데이터가 유출된 것이 추가로 확인됐다"며 피해 고객의 수를 29만명으로 수정했다. 그러나 해커라고 밝힌 작성자는 2000만건의 개인 정보 데이터를 가지고 있다고 주장하여 고객들은 자신의 개인 정보가 유출되었을거라는 생각을 버릴수 없게 됐다.
개인 정보 유출 사태로 분위기가 흉흉했던 1월 말-2월 초에는 디도스 공격으로 추정되는 대규모 트래픽 발생으로 인해 LG유플러스의 유선 인터넷망이 마비되는 사태가 발생했다.
1월 29일과 2월 4일, 양일에 걸쳐 발생한 인터넷 접속 오류 사태는 개인 정보 유출로 민감해져있던 사용자들을 다시 한 번 불안하게 했다. 공격이 주말에 이루어졌던 탓에 복구가 즉각적으로 이루어지지 않아, LG유플러스 회선을 사용하는 자영업자들과 초고속인터넷 가입자들이 적잖은 피해를 호소했다.
이에 지난 간담회에서 황현식 사장은 연초부터 일어난 개인 정보 유출 사태 및 인터넷 접속 오류 사태에 대해 직접 고개를 숙여 공식적으로 사과의 뜻을 전했고, "기본부터 다시 시작하겠다"고 다짐했다.
황 사장은 '사이버 안전혁신안'을 통해 통신사의 근본인 보안 역량을 최대한으로 강화하겠다는 방침을 밝힌 바 있다. 보안 전문 인력을 양성하고 외부 전문가의 의견도 적극 수렴해 보안 안정성을 제고할 예정이며, 특히 보안기술에 대한 연구와 투자 강화를 위해 현재의 3배 수준인 1000억으로 확대하고 고객 신뢰 회복에 집중하겠다는 계획이다.
다양한 보상안도 마련중이다. LG유플러스는 20일부터 개인 정보 유출이 확인된 고객을 대상으로 '유심 무료 교체' 서비스를 제공하기 시작했고, 개인 정보가 유출되지 않은 고객들도 오는 3월 1일부터 유심을 교체할 수 있다. 디도스 공격으로 피해를 입은 소상공인과 PC방 고객을 위한 '피해지원센터'도 개설해 운영 중이며, 피해 내용을 수집해 순차적으로 보상을 지원하겠다는 방침도 전했다.
또 황현식 사장은 20일, "최근 발생한 개인정보 및 디도서 공격 등 현안에 대응 및 해결방안을 모색하기 위해 모바일 박람회 MWC2023에 불참하기로 했다"고 밝히기도 했다. LG유플러스는 부스도 꾸리지 않고 실무자들만을 현장에 보내 해외 사업자들과의 협력을 논의할 전망이다.
하지만 연초에 일어난 두 사태가 통신사의 근간인 '보안'을 뒤흔드는 사태였다는 점에서, 고객들의 불안은 쉽사리 잦아들지 않고 있다. 일각에서는 LG유플러스의 안일한 대응이 피해를 키웠다는 비판의 목소리가 나오고 있는 상황이다.
또한 '무료유심교체'가 해킹 피해를 줄 일수 있을 지도 미지수다.
개인정보유출에 대한 LG유플러스의 대책은 유출된 개인정보 중 단말기고유식별번호(IMEI)는 단말기 고유 번호라서 이들이 제시한 대응 방안 중 하나인 ‘유심교체’만으로는 심 스와핑에 대처하지 못한다는 의견이 있다.
LG유플러스의 ‘무료 유심교체’ 두고 인터넷 커뮤니티에선 심 스와핑(SIM Swapping) 해킹의 가능성이 거론되고 있다. 심 스와핑(SIM Swapping)은 휴대전화의 유심 정보를 복제해 이를 장착하는 수법을 말한다. 이번에 유출된 정보엔 IMEI라는 휴대폰 단말기 고유 번호가 있다. IMSI(유심고유식별번호), IMEI 등의 정보를 통해서 유심을 복제할 수 있다는 지적이다.
일각에선 “유심칩을 교체한다고 해서 단말기 고유 번호까지 교체되는 게 아니기 단말기까지 변경해야 한다”는 주장이 나온다.