무선 해킹, 유선 디도스…LGU+ 혼란 원인 "보안투자·인력 부족"

과기정통부, LG유플러스 보안사고 조사·대책 발표
개인정보 유출 29.7만명…"유출규모 확대 가능성 배제못해"

LG유플러스 용산 사옥/사진제공=LGU+

정부가 올해 초 LG유플러스의 고객정보 유출, 인터넷 접속 장애 원인을 타사 대비 부족한 정보 투자·인력 때문이라고 지적하며 "타 통신사와 대등한 수준까지 끌어올릴 것"을 요구했다.

과학기술정보통신부와 한국인터넷진흥원(KISA) '특별조사점검단'은 올해 초 LG유플러스의 개인정보 유출, 디도스(DDoS, 분산서비스 거부 공격)에 따른 유선인터넷 장애 사고의 점검·분석과 대응 조치 방안을 27일 발표했다.

━

탈취 5년 동안 몰라…관리자 암호는 '초기 암호'

━

우선 고객정보 유출 사건은 올해 1월1일 신원미상의 해커가 온라인에 LG유플러스 고객정보 2000만건을 6비트코인(약 2억3000만원)에 판매한다는 글을 올리면서 알려졌다. LG유플러스가 해커로부터 60만건 데이터를 확보해 회원정보와 비교하는 등 과기정통부·개인정보위와 함께 조사한 결과, 총 29만7117명의 고객정보 유출을 확인했다.

조사 결과, LG유플러스의 전체 고객정보를 보관하는 시스템은 △전체회원DB(데이터베이스) △고객인증DB △해지고객DB 등 3개 시스템인데, 해커로부터 확보한 유출 데이터와 대조한 결과 내용이 일치하거나 가장 비슷한 시스템은 '고객인증DB'였다. 유출 시점은 데이터의 마지막 업데이트가 2018년 6월15일이었던 것에 비춰보면, 그 직후로 추정된다. 5년 가까이 흘렀음에도 해커가 판매에 나서기까지 탈취 사실이 파악되지 않은 셈이다.

또 당시 고객인증DB의 △웹 관리자 계정 암호가 시스템 초기 암호로 설정돼 있었고 △이 관리자 계정으로 악성코드를 설치할 수 있었으며 △관리자의 DB접근 인증 체계가 미흡한 탓에 악성코드를 이용해 유출된 것으로 추정된다. 또 조사점감단은 "고객정보 등이 포함된 대용량 데이터가 외부로 유출될 때, 이러한 비정상 행위의 위험성을 실시간 감시·통제할 수 있는 시스템이 없었다"고 지적했다.

유출 규모의 경우 해커로부터 확보한 60만건 중 동일인 중복데이터를 제거해 29만6477명을 확인했고, 해커로부터 추가로 얻어내거나 해커가 웹사이트에 올린 유출정보 이미지를 분석해 1000명 가량을 추가로 확인했다. 그러나 이 규모는 해커가 공개한 데이터만을 바탕으로 분석한 것이다. 이에 점검단은 "해커가 추가적인 고객 데이터를 가지고 있다고 단정하기 어렵지만, 유출 규모가 더욱 확대될 수 있는 가능성도 배제하기 어렵다"고 지적했다.

고객정보 유출에 따른 2차 피해로는 스미싱, 이메일 피싱, 불법로그인, 유심(USIM) 복제 등이 꼽힌다. 다만 점검단은 "불법로그인은 비밀번호가 암호화 돼 있고, 유심 복제는 실제 유심의 개인키가 있어야 하므로 피해 발생 가능성은 낮다"고 평가했다.

━

100분간 '먹통'…라우터 외부에 노출, 공격 초래

━

LG유플러스의 유선 통신망 장애는 지난 1월 29일 3차례에 걸쳐 63분, 2월4일 2차례에 걸쳐 57분 간 발생했다. 1차 공격은 LG유플러스와 국내외 통신사 간 연동구간의 네트워크 장비 14대(게이트웨이 3대, 라우터 11대)를 대상으로 발생, 전국 대부분의 유선인터넷과 VOD(주문형비디오), 070전화 서비스에 장애를 초래했다. 2차 공격은 내부가입자망에서 일부 지역 엣지 라우터 약 320대를 대상으로 이뤄져, 장애 지역은 제한됐다.

라우터 정보 노출을 최소화하는 타 통신사와 달리 LG유플러스는 이번 공격 전 약 68개 이상 라우터를 외부에 노출했고, 이를 통해 공격자가 LG유플러스 라우터를 특정해 디도스 공격을 감행했다는 게 점검단의 판단이다. 또 LG유플러스의 주요 라우터는 신뢰할 수 없는 장비와 통신하거나 비정상 패킷 수신이 가능한 상태였고, 광대역데이터망에 라우터 보호를 위한 보안장비가 설치돼 있지 않았다고 지적했다.

조사점검단은 정보유출 대응 차원에서 LG유플러스에 대해 △AI(인공지능)기반 모니터링 체계를 고객정보처리시스템까지 확대하고 △IT 자산 중요도에 따른 로그정책과 중앙로그관리시스템을 수립·구축해 점검하도록 주문했다. 디도스 공격에 관해선 △분기 1회 이상 모든 IT자산의 보안 취약점을 점검·제거하고 △침해사고 예방·대응·분석에 활용하는 IT자산 통합관리시스템을 도입하도록 요구했다.

이와 함께 LG유플러스의 보안 전문 인력과 관련 투자가 경쟁사 대비 부족하다며, 확충을 주문했다. 과기정통부에 따르면, 지난해 통신3사의 정보보호 투자액(정보통신 투자 대비 정보보호 비중, 정보보호 인력)은 △KT 1021억원(5.2%, 336명) △SK텔레콤 860억원(3.9%, 305명) △LG유플러스 292억원(3.7%, 91명) 순이었다. 과기정통부는 "정보보호 강화에 필요한 예산 규모와 보안 인력을 다른 통신사와 대등한 수준으로 보강하고, 정보보호책임자를 CEO(최고경영자) 직속 조직으로 강화해야 한다"고 밝혔다.

━

과기정통부 "사이버위협 통합탐지…제로 트러스트' 시범사업"

━

과기정통부와 KISA는 최근 빈발하는 보안 사고를 계기로 현재 개별적인 사이버 위협에 대응하는 탐지 시스템을 올해부터는 '사이버 위협 통합 탐지 시스템'으로 구축한다고 밝혔다. 또 침해 사실이 외부로 공개될 때 발생하는 불이익 때문에 신고를 회피하는 경향에 대비해 신고 내용과 신고 자료 보호 근거를 마련하고, 침해사고가 발생해도 신고하지 않은 사업자에 대한 과태료를 기존의 최대 1000만원에서 2000만원으로 강화한다.

아울러 사업자가 과기정통부의 침해사고 조치방안을 의무적으로 이행하도록 조치 이행점검 규정을 신설하고, '아무것도 신뢰하지 않는다'는 전제로 이용자에 최소한의 권한을 부여하는 '제로 트러스트' 보안 모델을 기업 업무환경에 맞게 적용·실증하는 시범사업을 추진한다.

이종호 과기정통부 장관은 "LG유플러스와 같은 기간통신사업자는 침해사고가 국민 일상의 불편을 넘어 막대한 경제적 피해, 사회 전반의 마비 등을 야기할 수 있음을 엄중히 인식하고 사이버위협 예방·대응에 충분한 투자와 노력을 다할 책무가 있다"며 "정부도 지능적·조직적 사이버 위협에 대비해 기존 정보보호 체계를 보다 실효성 높은 체계로 강화하겠다"고 밝혔다.

변휘 기자 hynews@mt.co.kr