LGU+, 3년전 '교훈' 무색···최악의 '통화내용' 유출

LG유플러스가 통화 내용 등 고객 민감 정보를 유출해 논란을 빚고 있다. 2023년 개인정보 유출 사고로 대대적인 쇄신을 단행했음에도, 관리 부실로 고객 정보가 새어 나간 터라 파장이 크다.

8일 통신업계에 따르면, LG유플러스는 최근 인공지능(AI) 통화 애플리케이션(앱) '익시오(ixi-O)' 이용 고객 36명의 통화 정보를 유출했다. LG유플러스는 이날 오전 이와 관련해 개인정보보호위원회에 자진 신고한 상태다.

LG유플러스가 통화앱 '익시오(ixi-O)' 이용 고객 통화 정보를 유출해 논란을 빚고 있다. 그래픽=이찬희 기자

외부 세력의 불법적인 개입에 따른 사고는 아니다. 회사에 따르면 자체적인 서비스 운영 개선 작업 과정에서 캐시(임시 저장 공간) 설정 오류로 발생했다. 이 때문에 익시오 이용 고객 36명의 ▲통화 상대방 전화번호 ▲통화 시각 ▲통화 내용 요약 등 정보가 다른 이용자 101명에게 일시적으로 노출됐다.

유출 추정 시간은 지난 2일 20시부터 3일 10시 59분 사이다. 이 시간 동안 익시오를 새로 설치하거나 재설치한 이용자(101명)에게 노출됐으며, 개인별로는 1명에서 6명까지의 다른 이용자에게 노출됐다.

해킹이 아닌 관리(운영) 실책만으로도 개인정보 유출이 가능하다는 점이 현실화된 모양새다. 가입자들 사이에서도 회사 측의 단순 설정 오류가 가입자 자신의 개인정보 유출로 이어질 수 있다는 불안감이 싹튼 상태다.

이에 업계에서는 3년 전 정보유출 사태 당시 얻은 경험도 무색한 결과라며 비판 수위를 높인다. LG유플러스는 2023년 29만7117명의 가입자 개인정보 유출 사고를 겪으며 진통을 앓은 바 있다. 이때 회사 보안 체계가 전반적으로 빈약해 업계 안팎의 비판이 컸다. 실시간 감시·통제 시스템이 부재했고, 관리자 데이터베이스(DB) 인증 시스템도 미흡해 회사 보안 의식에 대한 비판이 거셌다.

타사 대비 적은 정보보호 비용 투자·인력 투입 현황도 질타받았다. 2022년 LG유플러스는 정보보호부문에 전체 매출(13조9060억원)의 0.2%인 292억원을 투자했다. SK텔레콤(0.3%, 550억원), KT(0.8%, 1035억원) 대비 적은 액수에 눈총을 샀다. 내외부 합산 보안 전담 인력도 3사 중에서는 가장 적은 117명이었다.

LG유플러스는 곧장 쇄신안을 발표하고 대대적인 대응 체계 구축에 나섰다. LG유플러스는 수천억원 규모의 보안 시스템 투자와 인력 확충에 돌입했다. 네트워크·클라우드·고객정보 관리 전반에 대한 정밀 진단과 체질 개선도 단행했다.

LG유플러스는 지난해 정보보호부문 투자에만 1250억원을 쏟아붓는 등 공격적인 투자를 이행하고 있다. 같은 기간 전담인력도 290명으로 2년 새 두배 이상 늘렸다.

업계 한 관계자는 "고유식별정보·금융정보가 빠져나간 것은 아닌 만큼, 큰 후속 사고로 이어질 가능성은 적지만 통신 사업의 본래 의미를 되짚어볼 때, 대화 내용 등이 유출됐다는 것은 시사점이 크다"며 "이번 사고의 경우 기본적인 고객정보 관리가 여전히 허술하다는 것으로밖에 볼 수 없다"고 지적했다.

한편, LG유플러스는 지난 8월 미국의 보안 전문지 '프랙(Phrack)'이 해킹 의혹을 제기하면서 당국의 조사를 받고 있다. 회사는 침해 사실을 전면 부인하고 있는 상황이다.