LG U+ 개인정보 유출 / 해킹 증거.샘플 59만건 넘겨 받아… / 해커 “LG U+ 직원이 데이터 사가” / 회사 뒤늦게 “대행사 통해 접촉”
LG U+의 대규모 고객 개인정보 탈취 사건과 관련해, LG U+의 초기 상황 설명이 허위 및 축소된 것으로 밝혀졌다. 개인정보를 불법으로 탈취해 판매한 해커와 직접 접촉한 사실이 없다는 초기 해명과는 달리, LG U+는 해커와 접촉해 59만 명의 가입자 개인정보 묶음과 해킹 증거 파일을 금전거래를 통해 전달받은 것으로 확인됐다.
현재까지 LG U+가 밝힌 유출된 개인정보는 총 29만 건인데, 지난 달 ‘LG U+ 2천만 건 고객 정보 판매’ 글에 이어 지난 밤 12일 ‘3천만 건 고객 정보 판매’ 글이 또 올라왔다.
해커는 지난해 11월 LG U+ 서버를 해킹해 가입자 개인정보를 탈취한 뒤 비트코인을 요구했다. 해커는 “지난해 11월 LG유플러스 서버를 해킹해 고객 정보를 탈취했다”며 “최근 우리에게 데이터를 구매한 사람 중 LG U+ 직원도 있다”고 주장했다. 해커가 데이터 판매에 사용한 텔레그램 채널에는 LG U+ 고객 데이터 탈취를 입증하기 위해 만든 것으로 보이는 이미지 파일 50개가 올라와 있다. LG U+ 가입자 개인정보 59만 건을 보여준다는 설명이다. 해커는 “부분적으로도 판매하고 있다”고 밝혔다.
이번 개인정보 유출 사건에 대한 LG U+ 해명은 초기부터 석연치 않은 설명을 해왔다. 지난 달 1일 해커가 해킹 포럼에 “LG U+ 2천만 건 고객 정보 판매” 글을 올리면서 시작된 이번 사건은 한 달이 넘도록 정확한 피해 규모를 파악하거나 해명하지 못하고 있다. LG U+는 지난 달 10일 홈페이지를 통해 “18만 명의 개인정보가 유출됐다”고 발표했지만, 지난 3일 “해지 고객 11만 명의 데이터가 추가로 유출된 것으로 확인됐다”며 피해 고객 수를 29만 명으로 수정했다.
또한 LG U+는 해커로부터 받은 데이터 묶음에 59만 건이 포함되어 있음에도 불구하고 “불법 판매자로부터 약 29만 명의 개인정보가 포함된 데이터를 입수했다”고 발혔다. 중복된 데이터가 있다는 점을 고려하더라도, 해커가 주장한 2,000만 건의 데이터 중 59만 건만 확보해 분석한 것인데도 29만 건이라고 발표한 것이다. 또한 해커가 2천만 명의 가입자 개인정보를 보유하고 있다고 알려왔고, 비트코인을 요구했다는 사실도 공개하지 않았다. LG U+는 이 날 “대행사를 통해 해커와 접촉한 바 있고, 해커가 6비트코인을 요구했다”고 공식 확인했다.
LG U+ 가입자 개인정보 유출 사고가 발생한 지 40여일이 지났지만, 해당 통신사의 전 가입자, 현 가입자들은 여전히 내 개인정보가 안전한지 확신할 수 없는 상태다. 가입자 개인정보 유출과 인터넷 접속을 마비시키는 디도스(DDoS) 공격이 반복되자 과학기술정보통신부는 LG U+ 경영진을 ‘경고’하고 경찰, 한국인터넷진흥원과 구성한 민관합동조사단을 특별조사검사단으로 확대, 강화했지만 사건 경위 파악에는 한두 달 더 걸릴 것으로 예상되고 있다.
피해 규모를 파악 중인 한국인터넷진흥원과 개인정보보호위원회 측은 “조사 중이라 구체적인 내용을 공개할 수 없다”고 밝혔다.