中 해커, LGU+ 홈IoT·인터넷·TV 고객 정보까지 판매…"3000만건"

LGU+는 29만 주장…해커 공개 샘플만 60만

상품도 폰, TV, IoT, 인터넷전화 등 최소 7종

최근 해킹 2022년…3000만 주장도 일리

해지 고객 정보 최대 10년까지 보관해 우려

6일 서울 용산구 LG유플러스 본사 로비로 직원들이 출입하고 있다. 연합뉴스

LG유플러스(032640) 재무분석차트영역상세보기의 이동통신뿐 아니라 TV, 사물인터넷(IoT), 인터넷전화 등 최소 60만여 건의 가입자 정보까지 유출된 것으로 확인됐다. 앞서 LG유플러스는 두 번에 걸쳐 총 29만 명의 고객정보가 유출됐다고 밝힌 가운데 어떤 상품 이용자의 정보가 샌 것인지는 불투명했었다. 게다가 외국에서 활동 중인 해커가 3000만 건 이상의 고객 정보를 갖고 있다고 주장해 LG유플러스가 밝힌 것보다 피해 규모가 계속 커질 수 있다는 지적이 나온다.

7일 서울경제가 보안 전문가와 함께 LG유플러스 고객 정보 3000만 건을 해킹했다고 주장한 중국 해커 조직이 공개한 60만 건의 샘플 데이터를 분석한 결과 7종 이상의 상품 가입자 정보가 담겨 있다. △U+ TV : 6만 7124명 △U+ 홈IoT : 2만 2447명 △U+ 기업070 : 4만 5865명 △U+ 인터넷 7만 5646명 △이동통신 : 25만 7405명 △U+인터넷전화 : 2만 31명 △U+zone : 6781명 △無 등이다. 해커 조직은 지난 1월 22일 텔레그램 채널을 개설해 샘플 데이터를 공개하고 전 세계와 거래하고 있다. 샘플 데이터 파일은 한국어가 중국어로 인코딩되어 있었는데 한국어로 변환해 총 개수를 집계했다.

해커가 판매 중인 데이터 캡처 후 일부 모자이크. 왼쪽에는 60만여 건의 정보를 나열한 숫자가 순서대로 적혀있고 U+홈IoT, U+tv 등을 의미하는 정보가 적혀있다.

LG유플러스는 지난달 12일 개인정보 유출 고객에게 고객번호, 성명, 우편번호, 주소, 생년월일, 전화번호, 암호화된 주민번호, 가입자 고유식별번호(IMSI), 고객정보 변경시간, 단말모델명, 이메일, 암호화된 비밀번호, 가입일, 유심번호, 단말기 고유식별번호(IMEI), MAC주소, 웹아이디, 이용상품명 등이 유출됐다고 안내했는데 해커가 공개한 데이터도 이와 유사한 항목들로 차례로 구성됐다. 지난달 10일 LG유플러스는 18만 건의 고객 개인정보 유출을 인정하며 홈페이지 공지를 통해서는 유출 항목이 ‘성명, 생년월일, 전화번호 등’이라고만 언급해 규모를 축소하는 듯한 태도를 보였다.

이후 이달 3일에는 해당 공지를 수정해 11만 명의 고객 정보 유출이 추가로 확인됐다며 총 피해 규모는 29만 명이라고 밝혔다. LG유플러스는 "1월 불법 판매자로부터 약 29만 명의 개인정보가 포함된 데이터를 입수하였고, 이 중 약 18만 명이 당사 고객으로 확인됐다”며 “당시에는 파악할 수 없었던 나머지 약 11만 명의 이용자 정보가 전자상거래보호법 등에 근거해 분리 보관 중인 해지 고객 데이터 등에서 확인되어 추가 안내한다”고 밝혔다. LG유플러스는 지난달 2일 처음으로 유출 사실을 인지했는데 당시 해커가 LG유플러스 측에 최소 29만 건의 정보를 보여줬고 이후 60만 건의 샘플을 공개한 것으로 추측된다.

해커가 50개 파일을 가지고 있다며 공개한 캡처 이미지.

해커 조직은 60만 건이 담긴 샘플 데이터를 비롯해 총 50개 파일, 즉 3000만 건 이상의 데이터를 가지고 있다고 주장하며 관련 캡처 이미지도 공개했다. 해커에게 접촉한 결과 해커는 2021년 LG유플러스 인트라넷을 침입해 데이터를 탈취했으며 매달 데이터를 업데이트할 수 있다고 주장했다. 그러면서 데이터들을 6비트코인(BTC)에 판매하겠다고 했다. 7일 오후 1시 기준 1BTC는 2874만원 상당인 만큼 총 1억 7244만원에 판매하겠다는 것이다. 샘플 데이터 분석 결과 가입자와 관련된 최근 날짜는 2021년 12월 31일이었다. 해커가 최소 2022년에도 해킹했음을 알 수 있다.

그간 일각에서는 LG유플러스 휴대폰 가입자가 1601만명 가량이라며 해커의 주장인 3000만 건에 의문을 제기했는데, LG유플러스의 IPTV(535만), 인터넷전화(345만), 초고속인터넷(493만) 등 가입자 수를 모두 합치면 3000만 건이 일리가 있다는 분석이 나온다. 한 보안 전문가는 “해커가 공개한 샘플 데이터만 60만여 건에 이르고 3000만 건 데이터 보유 주장도 타당성이 있어 LG유플러스가 밝힌 것보다 더 큰 피해가 우려된다”고 말헀다.

LG유플러스 해지 고객의 정보가 샌 것에 대한 우려도 있다. LG유플러스의 개인정보처리방침에 따르면 해지고객의 정보를 여러 분류로 나눠 최소 6개월에서 10년까지 보관하고 있다.

개인정보보보호위원회 관계자는 “해커가 공개한 샘플 60만 건이 LG유플러스로부터 나온 것으로 보인다"며 "현재 분석 중”이라고 말했다. 개인정보위, 과학기술정보통신부, 한국인터넷진흥원(KISA), 경찰은 지난달 9일부터 LG유플러스 개인정보 유출에 대한 사실조사에 착수했다.