황현식, LG유플러스 보안시스템 대규모 투자만...임직원 보안의식 방치로 화 키웠을 가능성↑

기업의 사회적 역할이 날로 확대되고 있다. 특히 평판은 기기업의 가치와 미래를 엿볼 수 있는 중요한 도구다. 기업과 CEO의 좋은 평판은 오랜 기간 체계적인 관리가 이뤄져야 하는 만큼 쉽지 않다. 반면 나쁜 평판은 한순간 기업의 이미지를 훼손하면서 그간 쌓아온 성과를 허물어버린다.

 

<알파경제>는 연중기획으로 이정민 평판체크연구소장과 함께 국내 기업과 CEO들의 다양한 이슈를 학술적 이론을 접목해 풀어내고자 한다. 이를 통해 객관적이고, 공정하게 기업과 CEO의 평판을 체크하는 동시에 해당 기업의 가치와 미래 등도 짚어보고자 한다. [편집자주]

 

LG유플러스 황현식 대표 (사진=연합뉴스, LG유플러스, 알파경제)

 

 

[알파경제=이정민 평판체크연구소장·이형진 기자] 지난해 사상 첫 연간 영업 이익 1조 원을 돌파한 LG유플러스가 반복되는 보안사고로 흔들리고 있다.

황현식 대표가 이끄는 LG유플러스는 통신사업과 비통신 신사업의 동반 성장을 꾀하고 있었지만 연이은 보안사고로 성장보다 보안 문제에 주안점을 두게 됐다.

LG유플러스는 지난해 12월 고객들의 개인정보 유출에 이어, 올해 들어 벌써 3번의 디도스(DDos) 공격으로 인한 인터넷 장애가 발생했다.

통신산업 직접 규제 주체인 과학기술정보통신부까지 나서서 LG유플러스에 공식 경고하고 특별조사를 시행 중이다.
 

LG유플러스 (사진=연합뉴스)

 

◇ LG유플러스, 보안사고 수습방식 논란

LG유플러스의 보안사고 수습에도 논란이 많다.

LG유플러스는 고객에게 개인정보 유출 사실을 즉각 알리지 않고 공지를 지연시킨 것으로 드러났다. 게다가 고객 정보 볼모로 금전을 요구하는 불법해킹 조직과 접촉하는 황당한 일을 자행했다.

알려진 바에 따르면 LG유플러스의 보안 협력업체는 액세스(정보 접근) 경로를 확인하고자 해커에게 금전을 제공했다.

LG유플러스 주장은 추가 피해 방지를 위해 고객정보 유출 경로를 확인하려는 의도였다는 식이다. 하지만 해커와의 직접 접촉과 금전 제공까지 했음에도 LG유플러스는 아무런 정보도 얻지 못한 것으로 전해진다.

 

 

해킹 (사진=연합뉴스)

 

◇ 기업 데이터 증가에 유출 빈번..LG유플러스 대표적

최근 들어 기업의 처리·활용할 데이터 양이 기하급수적으로 늘어나고 데이터 유출이 빈번하게 발생하는 추세이다. 기업의 데이터 유출은 사회적 평판 손상과 재정 손실로 이어지고 조직의 장기적 안정성에 위협이 된다[2]. 따라서 데이터 유출 감지와 방지, 보안 문제는 기업의 가장 주요한 경영 과제이다[3].

데이터 유출(data breach: 정보유출)이란 안전하게 보관해야 하는 정보를 실수 또는 의도적으로 권한이 없는 자에게 노출하는 것을 의미한다.

보통 유출된 데이터는 사이버 범죄자들에게 악용돼 사회와 기업, 개인에게 피해를 초래한다. 해외 조사에 따르면, 전 세계적으로 데이터 유출로 인한 피해 비용이 연간 1530조 원 이상으로 추정된다[1].

LG유플러스의 경우처럼 사이버 범죄자인 블랙 해커에 의한 정보 탈취가 대표적이다.

 

고학수 개인정보보호위원장이 정부서울청사에서 2023년 전체회의를 주재하며 발언하고 있다 (사진=연합뉴스)

 

◇ 관리 부실·낮은 임직원 보안의식이 화 키워

데이터 유출 사고와 그 피해가 증가함에 따라 여러 원인 분석 연구들이 진행되었다. 흥미롭게도 다수 연구결과에서 데이터 유출 원인으로 임직원의 오용된 행동이 지목되었다[3-5].

오용된 행동이란 크게 직원의 실수와 의도적 침해로 나눠 볼 수 있다. 직원의 실수란 데이터 관리 미흡 혹은 실수로 데이터가 유출되는 사례이다. LG유플러스 임직원의 정보보안인식(ISA: Information Security Awareness) 수준도 이에 속한다.

실제 LG유플러스처럼 대규모 개인정보 유출 피해를 경험한 해외 통신기업 연구가 있다.

연구에서 해당 통신기업의 임직원들은 데이터의 취급부터 정보보안 사고 예방과 대응 체계, 책임이 불명확했던 것으로 드러났다. 정보보안인식 수준이 낮아 보안 침해 취약성이 높았고 외부 해커의 데이터 유출을 허용하는 듯한 안일한 태도도 보였다. 기업과 경영진의 정보보안에 관한 조직적 관행과 정책 구현 역시 부적절했다[6,7].

관련해 잦은 보안사고가 발생한 LG유플러스 역시 임직원의 데이터 관리와 정보보안인식이 부족할 가능성이 클 것으로 생각된다.

 

 

LG유플러스 (사진=연합뉴스, 픽사베이, 알파경제)

 

◇ 잦은 정보 유출, 내부자 공모도 의심해야

진짜 중요한 것은 의도적 침해 가능성이다.

의도적 침해란 내부 직원이 우발적 혹은 의도적으로 데이터 침해 행위에 관여하는 것을 말한다. LG유플러스 직원이 직접 데이터를 유출하거나 데이터 유출을 돕는 행위를 할 수 있기 때문이다.

가령 LG유플러스 임직원 중 정보 보안인식 수준이 낮고 조직에 불만이 많은 문제적 직원이 존재할 때 데이터 유출 사고의 위험성은 극도로 높아진다. 기업은 부적절한 업무 관행이나 내규 보안 매뉴얼을 단순히 따르기만 하는 행위만을 반복·수행하면서 실제적인 보안 관리와 통제에는 취약한 경우가 많다[8,9].

앞서 언급한 의도적 침해는 데이터 유출 사고의 60% 이상의 다수를 차지한다[10]. 이 같은 통계에 비춰볼 때 LG유플러스 내부에 문제적 직원이 존재할 수 있고 그로 인한 취약한 내부통제를 의심해 볼 수 있다.

 

 

LG유플러스 황현식 대표 (사진=LG유플러스)

◇ 데이터보안, 시스템 투자에만 집중..임직원 보안의식 방치

LG유플러스는 2019년부터 2021년까지 3년 동안 데이터 유출 피해가 없었고 정보보호부문 투자를 확대했다고 밝힌 바 있다. 이 같은 사실만 놓고 보면 LG유플러스가 시스템적으로 정보보안 노력을 했음이 분명해 보인다.

이 같은 투자에도 보안사고가 발생했다면 LG유플러스의 정보보안 강화의 주체가 임직원이 아닌 기술에만 치우쳤기 때문으로 의심된다.

연구에서 데이터 유출은 기술적 조치만으로 예방이 어려웠다. 완벽한 보안 기술 솔루션이 존재하지 않는다. 이 때문에 개인과 조직은 정보보안 위협을 느끼고 데이터 유출을 탐지·예방할 다각적 관리가 중요하다[7].

즉, 임직원 개개인의 정보보안인식 증진과 관리능력 향상이 가장 중요하다는 말이 된다. 그러나 LG유플러스는 이 같은 사실을 간과했을 가능성이 있다.

가능성은 종사자 수치로도 여실히 드러났다. LG유플러스의 정보보호전담 인력 수 비율은 3.9%로 동종 업계인 SK텔레콤 7.8%, KT 6.6%보다 확실히 낮은 수준이다.

LG유플러스의 황현식 대표는 고객 경험 혁신을 위한 데이터 확보의 중요성을 강조한 바 있다.

반복되는 보안사고와 선행연구들을 볼 때 황 대표를 포함한 임직원들의 실제 정보보안인식 수준은 낮을 가능성이 있다. LG유플러스는 향후 정보보호를 위한 조직문화 변화와 교육, 내부 보안통제 강화를 시행할 필요가 있겠다.

이정민 평판체크연구소장. 사진=알파경제

출처

[1] Cybercrime will cost businesses over $2 trillion by 2019. 2017. Available at: Juniper Research.
[2] Cheng, L., Liu, F., & Yao, D. (2017). Enterprise data breach: causes, challenges, prevention, and future directions. Wiley Interdisciplinary Reviews: Data Mining and Knowledge Discovery, 7(5), e1211.

[3] Chua, H. N., Teh, J. S., & Herbland, A. (2021). Identifying the effect of data breach publicity on information security awareness using hierarchical regression. IEEE Access, 9, 121759-121770.
[4 ]K. Parsons, D. Calic, M. Pattinson, M. Butavicius, A. McCormac and T. Zwaans, "The human aspects of information security questionnaire (HAIS-Q): Two further validation studies", Comput. Secur., vol. 66, pp. 40-51, May 2017.
[5] E. Schultz, "The human factor in security", Comput. Secur., vol. 24, no. 6, pp. 425-426, Sep. 2005.
[6] M. F. Gan, H. N. Chua and S. F. Wong, "Privacy enhancing technologies implementation: An investigation of its impact on work processes and employee perception", Telematics Informat., vol. 38, pp. 13-29, May 2019.

[7] Md Azmi, N. A. A., Teoh, A. P., Vafaei-Zadeh, A., & Hanifah, H. (2021). Predicting information security culture among employees of telecommunication companies in an emerging market. Information & Computer Security, 29(5), 866-882.
[8] Cappelli, D., Keeney, M., Kowalski, E., Moore, A., & Randazzo, M. (2004). Insider threat study: Illicit cyber activity in the banking and finance sector. CERT Coordination Center, Software Engineering Institute, Carnegie Mellon University (PA, USA).
[9] Greitzer, F. L., Moore, A. P., Cappelli, D. M., Andrews, D. H., Carroll, L. A., & Hull, T. D. (2008). Combating the insider cyber threat. IEEE Security & Privacy, 6(1), 61-64.
[10] Hauer B. Data and information leakage prevention within the scope of information security. IEEE Access 2015, 3: 2554– 2565.
[11] S. Furnell and N. Clarke, "Power to the people? The evolving recognition of human aspects of security", Comput. Secur., vol. 31, no. 8, pp. 983-988, Nov. 2012.