과학기술정보통신부가 LG유플러스 침해사고 원인분석 결과 및 조치방안을 발표했다. 지난 2월 황현식 LG유플러스 대표가 직접 사과한 지 약 2개월 만이다. 이에 LG유플러스는 재차 보안 품질 미흡에 대해 사과하며 접속 오류에 대한 구체적인 보상안도 내놨다.
LG유플러스는 올해 1월 초부터 고객정보 유출, 인터넷 장애 등의 보안 사고를 연이어 겪었다. 이에 과기부와 한국인터넷진흥원은 침해사고에 대한 현장조사를 실시했고 인력 및 조직 부족과 저조한 정보보호 투자가 원인이라는 결론이 나왔다.
그 결과 LG유플러스의 고객정보 유출은 고객인증 시스템 상의 취약점과 탐지체계 부재가 원인인 것으로 나타났다. 디도스 공격은 라우터 장비 외부 노출과 접근제어 정책 미흡, 네트워크 구간 보안 장비 미설치 등이 원인이 됐다.
특히 정보 유출 경로를 파악하기 위해 16개의 침해사고 시나리오를 마련해 검토한 결과 고객인증 DB 시스템의 취약점이 확인됐고, 초기암호를 미변경한 취약점도 있었던 것으로 나타났다.
LG유플러스는 입장문을 통해 “사고 발생 시점부터, 사안을 심각하게 받아들이고 있고 과학기술정보통신부의 원인 분석 결과에 따른 시정 요구사항을 전사적 차원에서 최우선으로 수행할 것”이라며 “새롭게 임명되는 CISO, CPO를 주축으로 개인정보를 비롯한 전사적인 정보보호 강화 활동을 지속하겠다”고 밝혔다.
이어 28일 오전 LG유플러스는 ‘피해보상협의체’와 마련한 디도스 장애에 따른 ‘종합 피해보상안’도 공개했다.
보상안에 따르면 개인고객 427만여 명에게 장애시간 대비 10배 요금을 기본 보상하고 온라인몰 ‘U+콕’에서 상품을 구매할 때 5000원(인터넷+IPTV 결합 고객) 또는 3000원(그 외 대상 고객) 상당의 할인을 받을 수 있는 쿠폰을 지급한다.
소상공인 피해 330여건에 대해선 인터넷, IPTV, CCTV 등 모든 소상공인 대상 서비스에 대한 이용 요금 1개월분을 감면하고 상생 지원 활동까지 포함한 보상을 지급한다. 또 소상공인 2000여 명에게 국내 최대 온라인 블로그 홍보 서비스 ‘레뷰’를 무상 지원한다. 아울러 소상공인을 응원하고 사업에 도움을 주기 위해 ‘착한가게 캠페인’의 선정 가게와 지원 비용을 각각 2배로 늘린다.
PC방 사업자에게는 요금 감면과 더불어 현금 보상 등 보상 선택권을 확대한다. 1월 29일과 2월 4일 중 하루 또는 이틀 모두 접속 오류를 겪은 PC방에 대해 보상금액을 차등 적용한다. 보상 방식은 현금 지급(7~8월)과 이용요금 감면(6~7월) 중 사업자가 직접 선택할 수 있도록 했다.
협의체는 5월 2일부터 5월 11일(목)까지 열흘간 피해 접수 기간을 연장 운영한다. 지난 1월 29일 또는 2월 4일에 디도스로 인해 인터넷 접속 오류를 겪은 고객(소상공인/PC방 사업자)은 피해보상센터와 LG유플러스 홈페이지를 통해 접수하면 된다. 피해보상센터는 평일 오전 9시부터 오후 9시까지 운영하며, 홈페이지 접수는 24시간 가능하다.
[소비자가만드는신문=최형주 기자]
