또 지난 1월에는 통신사 LG유플러스의 개인정보 유출과 디도스 공격에 따른 인터넷 서비스 장애가 발생해 곤욕을 치렀다. 과기정통부가 지난달 27일 발표한 'LG유플러스 침해사고 원인분석 및 조치방안'에 따르면 개인정보 유출 데이터 60만 건은 이름과 휴대폰 번호, 생년월일, 주소, 암호화된 주민등록번호, 모델명, 이메일, 암호화된 비밀번호, USIM 고유번호 등 26개 항목으로 이뤄졌다.
과기정통부는 LG유플러스에 현재 일부에만 적용된 미흡한 정보보안 시스템을 확대 적용하고 분기별로 1회 이상 모든 IT 자산에 대한 보안 취약점을 점검한 뒤 통합관리시스템을 도입해 개선하도록 요구했다. 또 보안인력을 확충, 보강하고 정보보호책임자를 CEO 직속으로 개편해 보안조직을 강화하도록 했다.
정보보호 예산도 다른 통신사와 대등한 수준으로 확대해 장기적인 보완 투자를 진행하도록 요구했다. 아울러 외부기관을 통해 사이버 위협 기반 공격 시나리오를 개발하고 맞춤 모의훈련을 연 2회 이상 수행하도록 했다.
황현식 LG유플러스 대표는 올해 초 개인정보 유출과 인터넷 서비스 장애에 대해 사과하고 정보보호 예산을 기존의 3배 수준인 1000억원으로 확대한다고 밝혔다. 또 전사정보보호·개인정보보호책임자(CISO·CPO)를 CEO 직속으로 강화하고 각 영역별 보안 전문가를 영입해 역량을 강화하기로 했다.
지난 2004년 5건으로 시작한 북한의 사이버 공격은 2021년까지 무려 300배 이상 급증한 것으로 드러났다. 국정원에 따르면 지난해 한국에 대한 하루 평균 해킹 시도는 118만 건으로 이 중 55.6%가 북한발 공격이다. 세계적인 사이버 공격 능력을 보유한 북한은 최근 경제난 해소를 위해 암호화폐 등 가상자산을 노린 사이버 공격과 첨단기술 탈취에 주력하고 있다.
상황이 이러한데도 아직도 우리 기업과 정부는 정보보호 투자에 적극적으로 나서지 않고 있다. LG유플러스도 정보보안 사고가 발생하고 나서야 향후 1000억원을 투자한다고 발표했다. '소 잃고 외양간 고치는' 격이다. 이는 보안 사고가 발생하지 않았다면 정보보호 투자에는 별 관심이 없다는 말과 같다.
기업들도 날이 갈수록 다양해지고 확대되고 있는 지능적·조직적 사이버 위협에 주체적으로 대비할 필요가 있다. 기존 정보보호 체계를 더 실효성 높게 강화하고, 정보보호 예산 투자와 인력 확충에도 더 적극적으로 나서야 할 때다. 정보보호에 소홀해 정보가 유출되고 서비스 시스템이 멈춘다면 더 큰 비용이 발생할 수 있다는 점을 명심해야 한다.
김태형 글로벌이코노믹 기자 tadkim@g-enews.com
