과기정통부 "LGU+ 보안 취약해 개인정보 유출…투자 늘려라"
이 글자크기로 변경됩니다.
(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.
최근 LG유플러스의 고객 개인정보 유출, 디도스 공격과 관련해 과학기술정보통신부가 오늘(27일) 원인 분석 결과와 조치방안을 발표했습니다.
과기정통부가 한국인터넷진흥원과 사고 원인을 분석한 결과 고객인증 시스템에 암호, DB접근제어 미흡 등 문제가 있던 것으로 추정됐습니다. 대용량 데이터 이동 등 실시간 탐지체계 부재도 사고 원인인 것으로 추정됐습니다.
디도스 공격의 경우 내부 라우터 장비 외부 노출, 라우터 간 접근제어 정책 미흡, 주요 네트워크 구간에 보안장비 미설치 등으로 접속장애 발생했다고 과기정통부는 설명했습니다. 라우터는 서로 다른 네트워크를 연결해주는 장치를 뜻합니다.
과기정통부는 두 사고가 공통적으로 정보보호 인력과 조직 부족, 상대적으로 저조한 정보보호 투자에서 비롯됐다고 봤습니다.
지난해 통신사 정보보호 투자액을 살펴보면 KT는 1천21억원, SKT는 860억원이었습니다. LG유플러스는 292억원에 불과했습니다.
과기정통부는 LG유플러스에 보안장비 구축, 정보보호 예산 확대 등 시정조치를 요구했습니다.
우선 IT 자산 중요도에 따른 로그정책과 중앙로그관리시스템을 수립·구축하고 주기적인 점검을 수행하도록 요구했습니다.
분기별로 1회 이상 모든 IT자산에 대한 보안 취약점을 점검, 제거하고 침해사고 예방·대응·분석 등에 활용할 수 있는 IT자산 통합관리시스템을 도입해 시스템 관리체계를 개선할 것도 요구했습니다.
아울러 과기정통부는 LG유플러스가 주요 보안인력을 타 통신사와 대등한 수준으로 보강하고, 정보보호책임자를 CEO 직속 조직으로 강화해 보다 전문화된 보안조직 체계를 구성하도록 했습니다.
또 정보보호 강화에 필요한 예산 규모를 타 통신사 이상으로 확대하고, 한시적인 투자 확대가 아닌 장기 계획에 따른 보완 투자가 진행될 수 있도록 했습니다.
과기정통부는 LG유플러스에 외부기관을 통해 최근 사이버 위협 기반의 공격 시나리오를 개발하고, 이에 맞는 맞춤형 모의훈련을 연 2회 이상 수행, 외부기관이 진행하는 모의 침투 훈련에도 참여해 평소 사이버위협 대응능력을 높일 것을 요구했습니다.
앞서 LG유플러스에서는 올해 초 29만 명의 개인정보가 유출되는 일이 있었습니다.
지난 1월과 2월에는 디도스 공격으로 5회에 걸쳐 총 120분간, LG유플러스의 유선인터넷과 VOD, 070전화 서비스에 장애가 발생했습니다.
짧고 유익한 Biz 숏폼 바로가기
저작권자 SBS미디어넷 & SBSi 무단전재-재배포 금지
Copyright © SBS Biz. 무단전재 및 재배포 금지.