LGU+, 디도스 공격 피해…'보안투자·인력부족' 개선해야

고객 29만명 개인정보 유출 이어 5번 디도스 공격 피해
업계 "BGP 기반 공격 추정…KT망 서비스 장애 비슷"

LG유플러스 CI(LGU+ 제공)

(서울=뉴스1) 오현주 기자 = LG유플러스가 올해 들어 총 5번의 디도스(DDoS·사이트를 공격해 접속 불능 상태로 만드는 테러) 공격을 받았다. 이동통신사가 연속으로 사이버 공격을 받는 것은 흔치 않은 일이다.

최근 LG유플러스 고객 29만명의 개인정보가 유출된 사건에 이은 공격이다. 적극적이지 못했던 보안투자에 따른 약점이 공격의 빌미를 제공했다는 지적이다.

8일 보안업계에 따르면, 이번 공격은 'BGP'(경계경로 프로토콜) 중심의 디도스 공격로 분석된다. 아직 정부 측이 정확한 원인을 밝히진 않았지만, 일반 디도스 유형보다 공격 트래픽 규모가 적었던 것으로 알려졌다.

일반적으로 'BGP'(보더 게이트웨이 프로토콜) 기반 디도스 공격은 상대적으로 적은 트래픽으로도 시스템 서버를 마비시키는 형태다.

'BGP'는 이동통신사가 관할하는 네트워크와 외부 네트워크 사이의 통신에서 최적의 경로를 만들어주는 통신 규약(프로토콜)을 말한다.

쉽게 말해 누군가 우체통에 편지를 넣으면 우체국에서 편지를 수거해 받는 사람에게 전달하기 위해 빠른 경로를 탐색하는 기술이다.

결국 해커는 통신에서 최적의 경로를 배정해주는 'BGP'에 트래픽을 집중시켜, 시스템 과부하를 일으킨 것으로 관측된다.

보안업계 관계자는 "해커가 BGP라는 통신규약 자체를 기반으로 교란을 일으킨 것으로 보인다"며 "2021년 10월 KT망 서비스 장애사고와 비슷한 형태"라고 말했다.

이번 공격이 특정 타깃을 집요하게 공격하는 '지능적 지속적 위협'(APT)이란 목소리도 있다. LG유플러스 대상 유선 인터넷망 디도스 공격은 올해 들어서만 5번째다.

지난 1월 29일 총 3차례 63분가량 디도스 공격을 받았다. 또 지난 4일 오후 두 차례 추가 공격을 받았다.

일각에서는 LG유플러스가 SK텔레콤·KT보다 개인정보보호투자에 소홀한 결과라는 지적도 있다.

과학기술정보통신부가 지난해 12월 공개한 '2021년 정보보호공시'에 따르면 LG유플러스의 정보보호투자액(292억원)은 이동통신 3사 중 제일 낮다. KT는 1021억원, SK텔레콤은 350억원이다.

정보보호전담인력은 91명에 그쳤다. KT는 336명, SK텔레콤은 196명이다.

한편 과학기술정보통신부는 지난 6일 LG유플러스 대상 공격 대응을 위해 특별조사점검단을 마련했다. 또 LG유플러스는 전사 위기관리 태스크포스(TF)를 가동 중이다.

woobi123@news1.kr