해킹 증거·샘플 59만건 넘겨받아
해커 “LGU+ 직원이 데이터 사가”
회사 뒤늦게 “대행사 통해 접촉”
엘지유플러스(LGU+)가 고객 개인정보를 대량 탈취당한 것과 관련해, 회사 쪽이 초기 상황에 대해 거짓·축소 설명을 내놔 사태를 더 키운 정황이 포착됐다. 해커(개인정보 불법 탈취·판매 행위자)와 직접 접촉한 적 없다던 애초 해명과 달리 엘지유플러스는 해커들을 접촉해 가입자 개인정보 다발 59만건을 넘겨받고 돈거래를 통해 해킹 증거 파일을 받은 것으로 확인됐다.
지금까지 엘지유플러스가 밝힌 유출 개인정보는 총 29만건인데, 온라인에는 지난달 ‘엘지유플러스 고객 정보 2천만건 판매’ 글에 이어 지난 12일 밤 ‘고객 정보 3천만 건 판매’ 글이 또다시 올라왔다.
13일 <한겨레> 취재를 종합하면, 해커는 지난해 11월 엘지유플러스 서버를 해킹해 가입자 개인정보를 빼돌린 뒤 돈(비트코인)을 요구했다. 해커는 “지난해 11월 엘지유플러스 서버를 해킹해 고객 정보를 빼돌렸다”고 주장하며 “최근 우리에게 데이터를 구매한 사람 중에는 엘지유플러스 직원도 있다”고 밝혔다. 해커가 개인정보 판매 창구로 활용 중인 텔레그램 채널에는 엘지유플러스 고객 데이터 탈취 사실을 입증하기 위해 만들어진 것으로 보이는 이미지 파일 50개가 올려져 있다. 각각 엘지유플러스 가입자 개인정보 59만건을 보여준다는 설명이다. 해커는 “부분적으로도 판매한다”고 밝히고 있다.
엘지유플러스는 이번 사태에 대해 처음부터 석연치 않은 설명을 해왔다. 지난달 1일 해커가 한 해킹포럼에 ‘엘지 통신사 고객 정보 2천만건 이상 판매’ 글을 올리면서 시작된(엘지유플러스 설명) 이번 사태는, 이후 한 달이 넘도록 정확한 피해 규모조차 파악·설명되지 않는 상태가 이어지고 있다. 엘지유플러스는 지난달 10일 “개인정보 유출 건수가 18만명”이라고 누리집에 공지했다가, 지난 3일에는 “해지 고객 11만명의 데이터가 유출된 게 추가로 확인됐다”며 피해 고객 수를 29만명으로 수정했다.
더욱이 애초 해커한테서 받은 데이터 다발에 59만건이 들어있었는데도, 엘지유플러스는 누리집 공지에선 “불법 판매자로부터 약 29만명의 개인정보가 포함된 데이터를 입수했다”고 밝혔다. 중복 데이터가 있었다는 점을 감안해도, 해커가 주장한 2천만건의 유출 데이터 중 극히 일부인 59만건만 확보해 분석한 것인데도 29만건이라고 발표한 것이다. 또한 해커가 가입자 개인정보 2천만건을 갖고 있다고 알려왔고, 비트코인을 요구한 사실도 밝히지 않았다. 엘지유플러스는 이 날 “대행사를 통해 해커들을 접촉한 바 있고, 해커가 6비트코인을 요구해왔다”고 공식 확인했다.
이에 엘지유플러스 가입자 개인정보 유출 사실이 알려진 지 40여일이 지난 지금까지도 이 통신사 전·현 가입자들은 내 개인정보가 안전한 지 확신할 수 없는 상태다. 가입자 개인정보 유출에 이어 디도스(Ddos·서비스 거부) 공격으로 인터넷 접속이 장애를 일으키는 사태까지 반복되자, 과학기술정보통신부는 엘지유플러스 경영진을 ‘경고’하고, 경찰·한국인터넷진흥원과 구성한 민관합동조사단을 특별조사점검단으로 확대·강화했지만, 사고 경위를 파악하는데만도 앞으로 한두달은 더 걸릴 것이란 전망이 나온다.
피해 규모를 파악 중인 한국인터넷진흥원(KISA)과 개인정보보호위원회는 <한겨레>에 “조사 중인 내용이라 구체적으로 밝힐 수 없다”고 밝혔다.
.png?type=nf190_130)
