[단독] LGU+ 또 거짓 해명…“추가 유출은 해지고객” 사실 아냐

3만명은 현재 가입자…발견 시점도 틀려
누리집 통해선 ‘11만명’ 한꺼번에 공지
“대표가 나서 상황 소상히 설명해야”

가입자 개인정보 유출과 거듭된 인터넷 장애로 정부의 특별조사를 받고 있는 엘지유플러스(LGU+)가 사고 대응과 관련해 ‘투명성 논란’에 휩싸였다. 연합뉴스

가입자 개인정보 유출과 거듭된 인터넷 서비스 장애로 정부 특별조사를 받고 있는 엘지유플러스(LGU+)가 개인정보 유출 사태 초기 해커와 직접 거래한 사실을 은폐한 데 이어, 지난 3일 해커(개인정보 불법 탈취·판매 행위자)한테서 건네받은 데이터 다발에서 “해지고객 정보 11만건을 추가 발견했다”고 밝혔던 것도 사실과 다른 것으로 확인됐다. 개인정보 침해 사고 발생 시 기업이 최우선으로 해야 하는 ‘투명성’을 저버린 행보여서 논란이 이어질 전망이다.

15일 <한겨레>의 취재를 종합하면, 엘지유플러스가 해지고객 데이터라 따로 분리돼 있어 뒤늦게 발견했다던 11만건 중 진짜 해지고객 것은 8만건뿐이고, 나머지 3만건은 현재 가입자 개인정보인 것으로 확인됐다. 현재 가입자 개인정보를 해지고객 것으로 둔갑시킨 것이다. 해커가 갖고 있다는 정보가 오래된 것이라는 점을 강조하기 위한 것으로 보인다. 앞서 엘지유플러스는 지난 3일 “분리 보관 중인 해지고객 데이터에서 11만건의 유출을 추가로 발견했다”고 발표했다.

엘지유플러스가 추가 유출 정보를 발견했다고 밝힌 시점도 실제와 다르다. 개인정보보호위원회 관계자들에 따르면, 추가 유출 발견 정보 11만건 중 현재 가입자 것 3만건은 지난달 20일에 확인했고, 해지고객 정보 8만건 유출 발견 시점은 11일 뒤인 지난달 31일이다. 하지만 엘지유플러스는 개인정보보호법이 정한 통지 의무 기간(5일)까지 넘기며 지난 3일 11만명으로 묶어 발표했다. 이 과정에서 엘지유플러스가 해지고객 정보를 늦게 확인한 이유에 대해 “개인정보보호위원회의 열람 허가를 기다렸다”고 답변했다는 보도가 나오자, 개인정보위가 “사실무근”이라고 반박하는 일까지 벌어졌다.

앞서 엘지유플러스는 지난달 10일 누리집에 “저희는 1월 불법 판매자로부터 약 29만명의 개인정보가 포함된 데이터를 입수하였고, 이 중 약 18만명이 당사 고객으로 확인됐다”고 공지했다가, 지난 3일 “당시에는 파악할 수 없었던 나머지 약 11만명의 가입자 정보가 전자상거래보호법 등에 근거해 분리 보관 중인 해지고객 데이터 등에서 확인됐다”며 피해 고객 수를 29만명으로 수정했다. 개인정보위의 ‘개인정보 유출 대응 매뉴얼’은 개인정보 침해를 통지할 때 ‘등’과 같은 단어를 동원해 내용을 생략하지 말아야 한다고 안내하고 있다.

엘지유플러스 쪽 통지에 정보가 충분하지 않자, 개인정보위가 지난 8일 별도 브리핑을 통해 유출 개인정보 발견 시점을 분리해 설명하기까지 했다. 엘지유플러스가 지난달 8일과 20일에 각각 18만건과 3만건 유출 사실을 확인했고, 개인정보위가 31일 해지고객 개인정보 8만건 유출을 추가로 확인했다는 내용이었다. 이런 ‘시차’가 있었던 게 뒤늦게 알려지자, 지난 9일 열린 국회 과학기술정보방송통신위원회 긴급 현안 점검에서 정필모 더불어민주당 의원은 “개인정보가 뚫린 것 자체도 문제지만, 사후 조치에 있어 법규를 지키지 못한 것도 큰 문제”라며 “1월20일 3만건, 31일 8만건을 추가로 파악한 뒤 다 합쳐서 2월3일 공지를 했는데, 이는 개인정보보호법 위반”이라고 지적했다.

지난 두 달 사이, 엘지유플러스는 가입자 개인정보 유출 사태를 겪으며 △유출 사실 인지와 초기 대응 경위 △해커와의 직접 접촉 여부 △해킹을 통해 2천만건을 입수했다고 주장하는 해커로부터 직접 확보한 데이터가 59만건뿐이라는 점 △59만건에 대한 분석 상황 및 결과 △해지고객 데이터 발견이 늦어진 이유 등에 대해 투명하지 못한 소통 태도를 보여왔다.

특히 해커가 해킹을 통해 2천만건을 확보해서 있다고 주장해온 사실을 공식 발표하지 않아 축소·거짓 설명 논란까지 일었다. 엘지유플러스는 “해커 주장을 어찌 믿냐”고 반박했다. 현행 개인정보보호법은 기업이 유출된 개인정보에 대해 5일 이내에 정보 주체에게 알려야 한다고 정하고, 어기면 3천만원 이하의 과태료를 부과하도록 하고 있다.

대표이사가 직접 나서서 개인정보 유출 사고에 투명하고 신속하게 대응했던 사례로 꼽히는 2011년 현대캐피털 사건과 비교되기도 한다. 2011년 4월 당시 정태영 현대캐피탈 사장은 정보 유출을 인지한 지 이틀 만에 직접 기자회견을 열어 “이틀 전 해커로부터 당사 정보를 해킹했다며 금품을 요구하는 협박 이메일을 받아 경찰에 신고하고 대책반을 구성했다”며 “해커를 검거하기 위해 최소한의 금액을 송금했다”고 밝혔다. 물론 해킹 발생 시점이 두 달이나 지난 것으로 추정돼 비판을 받았지만, 대표이사가 직접 책임을 지고 투명하고 신속하게 대응해나간 것에 있어서는 좋은 선례로 남았다.

이경호 고려대 교수(정보대학원)는 “개인정보 유출 사고에 있어 기업의 투명성은 매우 중요하다”며 “국가 재난 사태와 마찬가지로 기업에서도 최종 책임자가 직접 나서면 해결되는 문제가 담당자만 처벌하려고 드는 분위기에서는 해결되지 않고 되려 해커에게 끌려다니기만 할 수 있다”고 지적했다.

임지선 기자 sun21@hani.co.kr