LG그룹 계열사, 최근 3년새 개인정보 및 데이터 유출 사건 일지 살펴보니

LG유플러스·LG전자 각각 3건과 4건 등 LG그룹 계열사에서 보안사고 빈번하게 발생

LG유플러스 황현식 대표, 고객정보 유출과 인터넷 서비스 장애에 대해 16일 사과

​

▲LG그룹 로고[로고=LG]

[보안뉴스 김영명 기자] 우리나라 대표기업으로 삼성과 함께 전 세계 디지털 시장을 이끌어 가는 양대 산맥이기도 한 LG그룹이 연이어 해킹사고에 휘말리면서 브랜드 이미지와 명성에 타격을 입고 있다. 최근에도 통신·서비스 부문 LG유플러스에서 29만명의 고객정보 유출이 확인되면서 파장이 커지고 있는 것. 이에 LG그룹 차원에서 계열사들의 보안체계 전반을 점검하고 개선해야 한다는 목소리가 제기되고 있다.

LG그룹의 개인정보 유출 및 해킹 사고는 이번이 처음이 아니다. 2000년부터 최근 3년 간 거슬러 올라가봐도 9건에 이른다. 올해 LG유플러스를 비롯해 지난해에는 LG전자(전자부문), LG화학(화학부문) 등 3개 계열사에서 8건의 해킹 및 내부 사고로 개인정보와 데이터가 유출된 것으로 드러났다.

​

▲LG그룹 계열사에서 발생한 3년 내 해킹 사건·사고 리스트[정리=보안뉴스]

△2020년 6월, LG전자 북미법인

2020년 6월, LG전자 북미법인이 ‘메이즈(MAZE)’라는 랜섬웨어 조직의 공격을 받았다. 해당 사건으로 스마트폰 프로그래밍 관련 내부 기밀 자료가 대거 유출됐으며, 고객사의 거래 정보도 다수 유출된 것으로 알려졌다. 유출된 내부 기밀 자료를 분석했을 때 폴더명, 파일명 등으로 추정 가능한 관련 제품은 그해 2월에 새롭게 출시한 V60 듀얼 스크린 스마트폰과 ‘벨벳’이라는 애칭이 붙은 G900 스마트폰이었다. 당시 공격을 감행한 메이즈 랜섬웨어 그룹은 자신들의 온라인 사이트에 최대 40GB의 소스 코드를 빼돌렸다고 주장하는 글을 게시했다. 또한, 해킹으로 획득한 파일의 일부를 업로드해 누구나 열람할 수 있도록 하고 피해 기업으로부터 몸값을 요구했다.

△2020년 7월, LG전자

그로부터 한 달여가 지난 2020년 7월 무렵, LG전자가 또 한 번 해킹사고를 당했다. ‘bcorp33’ 해커조직은 8월 3일 미국 실리콘밸리에 있는 LG전자의 시니어 시스템 관리자 VPN 접속 계정정보를 탈취했다고 공식적으로 밝혔다. 이들은 탈취한 계정정보, 내부 네트워크 정보, VPN 자격증명 등의 댓가로 1만 달러(약 1,236만원)를 요구했다. 또한, 나흘 이내 도메인 관리자 페이지의 접근 권한이 1만3,000달러(약 1,606만원)에 판매되지 않을 경우 Phobos 랜섬웨어를 유포할 것이라고 협박하기도 했다.

△2021년 4월, LG생활건강 베트남법인

2021년 4월에는 이번에는 LG생활건강(LGh&h) 베트남 법인이 랜섬웨어 공격을 받았다. LG생활건강의 베트남법인은 그해 4월 29일 ‘아바돈(Avaddon)’ 랜섬웨어의 공격을 받아 일상적인 제품 리스트와 세금 거래서 등 일부 자료가 유출된 것으로 알려졌다. 해당 해커조직은 LG생활건강의 내부 계약 문건과 고객사 명단 등 기업 내부문서를 다크웹을 통해 유출했다. LG생활건강 관계자는 공격을 받은 이후 곧바로 자료 백업과 포맷, 운영체제 재설치 작업을 진행했다고 밝혔다.

△2021년 5월, LG전자 북미법인

바로 한 달 뒤인 2021년 5월에는 미국 땅에서 LG전자의 랜섬웨어 공격 피해 사실이 밝혀졌다. LG전자가 ‘콘티(Conti)’ 랜섬웨어의 공격을 받았다. Conti 해킹그룹은 LG전자 북미법인 사내 임직원 PC 정보를 빼돌려 다크웹을 통해 유출하고 판매까지 진행했다고 밝혔다. 이들이 탈취한 PC 정보는 무려 78만 8,000여건에 달하는 것으로 알려졌다.

​

▲LG유플러스를 해킹했다고 밝힌 ‘mont4na’ 아이디의 해커가 2021년 4월 다크웹에 공개한 내용[자료=보안뉴스]

△2021년 12월, LG유플러스

2021년 12월 9일, 다크웹 포럼에는 ‘몬타나(mont4na)’라는 아이디를 가진 사용자(해커)가 ‘LG 유플러스 임직원의 개인정보 약 3만개를 판매한다’는 글을 올렸다. 이 해커는 LG유플러스의 대리점 로고 이미지와 함께 “LG유플러스의 데이터베이스에서 직접 추출한 3만개 이상의 로그인 데이터를 판매하고 있다. 해당 데이터는 @lguplus.co.kr, @lgupluscvc.co.kr, @lguplushsc, @lgupluspartners 등의 도메인 계정을 사용한다”며 친절한 설명을 덧붙이기도 했다. 도메인 계정을 상세히 보면 ‘lguplus’에서 뒷부분이 추가된 것으로 보아 LG유플러스를 사용하는 일반 고객의 이메일 계정이 아닌, LG유플러스와 관계사들의 임직원 메일인 것으로 추정된 바 있다.

△2022년 2월, LG유플러스

한 해가 지나고 2022년 2월, LG유플러스는 또 한 번의 해킹 사고에 휘말렸다. 2개월 전에 ‘몬타나(mont4na)’의 불법 침입에 이어 이번에는 ‘펌페드킥스(pumpedkicks)’라는 아이디를 가진 해커가 임직원 및 관계사 계정정보 약 8만 5,000개를 확보했다고 주장했다.

​

▲지난해 3월 LG전자를 해킹한 ‘랩서스’ 해커조직이 텔레그램에 언급한 공지 내용[자료=LG유플러스]

△2022년 3월, LG전자

2022년 3월에는 ‘랩서스(LAPSUS$)’ 해커조직이 LG전자 약 8만 8,000건의 임직원 및 서비스 계정정보를 탈취했다는 소식이 알려졌다. 랩서스 해커조직은 LG전자를 해킹한 다음 “LGE.COM 직원과 서비스 계정에 대한 모든 해시를 덤프합니다. 저는 LG전자를 1년 새 두 번을 해킹했습니다. LG의 인프라 컨플루언스 덤프가 곧 공개됩니다. 새로운 CSIRT 팀(컴퓨터보안사고 대응팀)을 갖추는 게 좋을 것 같습니다”라는 메시지를 남기기도 했다.

​

▲LG유플러스에서 지난 1월 18만명 개인정보 유출과 관련해 발표한 사과문[자료=LG유플러스]

△2023년 1월, LG유플러스

올해 1월 10일에는 LG유플러스가 자사의 이동통신·인터넷·전화 서비스를 제공받는 최소 18만명의 고객 개인정보가 유출됐다고 사과문을 올렸다. 이번 사고로 유출된 개인정보는 개인별로 조금씩 차이는 있지만, 성명, 생년월일, 전화번호 등이 포함됐다고 밝혔다. 다만, 납부 관련 금융정보는 포함돼 있지 않다고 덧붙였다. 그러나 2월 3일에 다시 공지를 올려 지난 1월에 불법 판매자로부터 약 29만명의 개인정보가 포함된 데이터를 입수했다고 밝혔다. 29만여명 가운데 18만명이 현재 고객으로 확인됐으며, 나머지 11만명은 전자상거래보호법 등에 근거해 분리 보관 중인 해지 고객 데이터였다고 설명했다.

한편, LG유플러스 황현식 대표가 16일 LG유플러스 용산사옥 대강당에서 기자간담회를 열고 고객정보 유출과 디도스 공격으로 인한 인터넷 서비스 장애에 대해 사과했다. 황 대표는 “정보 유출과 인터넷 서비스 오류로 불편을 겪은 고객분들께 진심으로 사과드린다. 뼈를 깎는 성찰로 신뢰를 주는 회사로 거듭나겠다”고 밝혔다.

이어 황 대표는 △정보보호 조직·인력·투자 확대 △외부 보안전문가와 취약점 사전점검·모의해킹 △선진화된 보안기술 적용 및 미래보안기술 연구·투자 △사이버 보안 전문인력 육성 △사이버 보안 혁신 활동 보고서 발간 등 사이버 안전혁신안도 제시했다.

[김영명 기자(boan@boannews.com)]​ 

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=113879&page=2&mkind=1&kind=1)]