30만명 고객 정보 유출 LGU+, 보안 조치 미흡했다…“실시간 감시, 외부 노출 차단 필요”

과기정통부 ‘원인분석 결과 및 조치방안’ 발표
고객인증 시스템 취약·실시간 감시체계 부재 원인
내부 라우터 외부 노출에 보안장비 없어 접속장애
정보보호 ‘인력·조직·투자’ 근본 원인 시정조치 요구
LG유플러스 “인력·투자 확대, 선진 보안 기술 적용”

서울의 한 LG유플러스 지점. /연합뉴스

“LG유플러스는 고객 정보 등이 포함된 대용량 데이터가 외부로 유출되는 행위의 위험성을 실시간으로 감시하고 통제할 수 있는 자동화된 시스템이 없었고, 라우터(인터넷 통신 연결 장치) 정보 노출을 최소화하는 다른 통신사와 달리 LG유플러스는 68개 이상의 라우터가 외부에 노출돼 있었다.”

과학기술정보통신부는 27일 한국인터넷진흥원(KISA)과 지난 1월 발생한 LG유플러스의 사이버 침해 사고 원인에 대해 이렇게 분석했다. 이날 과기정통부는 침해 사고 분석 내용과 예방 및 대응 체계를 담은 ‘LG유플러스 침해 사고 원인 분석 및 조치 방안’을 발표했다.

지난 1월 과기정통부는 LG유플러스의 고객 정보 대량 유출을 중대한 침해 사고로 판단해 KISA와 현장조사를 진행했다. 정확한 침해 사고 원인 분석과 재발 방지 대책 등을 마련하기 위해 외부 전문가를 포함한 ‘민관합동조사단’을 구성했다.

그럼에도 LG유플러스 정보통신망에 대한 디도스(분산서비스 거부·DDoS) 공격으로 유선 인터넷 등 접속 장애가 반복적으로 발생하면서 과기정통부는 LG유플러스에 대한 심층적인 정보보호 예방 대응 체계를 점검할 필요가 있다고 판단했다. 이에 기존 조사단을 ‘특별조사점검단’으로 개편해 2월부터 본격적인 조사와 점검을 진행했다.

◇ 실시간 감시 체계 없어 ‘29만7117명’ 고객 정보 유출

과기정통부는 2개월간 진행한 조사에서 2018년 6월에 생성된 29만7117명의 LG유플러스 고객 정보가 고객 인증 시스템에서 유출된 것을 확인했다. 고객 정보가 유출될 수 있었던 건 LG유플러스의 고객 인증 시스템 취약(암호, DB접근제어 미흡), 대용량 데이터 이동 등 실시간 감시 체계가 없었던 게 원인이다.

LG유플러스가 해커로부터 확보한 유출데이터 60만건은 데이터베이스(DB) 형태의 텍스트 파일로 26개의 컬럼으로 구성됐다. 컬럼에는 LG유플러스 고객의 휴대전화번호, 성명, 주소, 생년월일, 암호화된 주민등록번호, 모델명, 이메일, 암호화된 비밀번호, 유심 고유번호 등이 포함됐다.

LG유플러스 고객인증 시스템을 통한 개인정보 유출 경로 시나리오. /과기정통부 제공

과기정통부와 KISA는 유출데이터의 컬럼, 데이터 내용 등이 ‘고객 인증 DB’에서 유출된 것을 확인했다. 또 2014년 6월부터 2021년 8월까지 진행한 LG유플러스의 사용자 계정 통합 과정에서 정상적으로 삭제된 전체회원과 해지고객 정보가 ‘고객 인증 DB’에 남아있었다는 사실도 확인했다. 중복 데이터를 제거하면 29만6477명의 LG유플러스 고객 정보가 유출됐다. 여기에 이미지로 된 데이터에서 해커로부터 확보한 유출데이터에 포함되지 않은 새로운 고객 정보 1039명을 추가로 확보하면서 확인된 전체 유출고객 데이터는 29만7117명(399명 확인 불가능)이다.

과기정통부는 LG유플러스의 웹 관리자 계정 암호가 시스템 초기암호로 설정돼 있었고, 시스템에 웹 취약점이 있어 해당 관리자 계정으로 악성코드를 설치할 수 있었으며, 관리자의 DB 접근 제어 등 인증 체계가 미흡해 해커가 파일을 쉽게 뺏어간 것으로 추정했다. 이번 개인정보 유출로 과기정통부는 스미싱, 이메일 피싱, 불법 로그인, 유심 복제 등 2차 피해 가능성도 배제할 수 없는 상태가 됐다고 밝혔다.

◇ 내부 라우터 외부에 그대로 노출, 해커 공격에 무방비

디도스 공격의 경우 인터넷 통신 연결 장치인 내부 라우터 장비가 외부로 노출됐고, 라우터 간 접근제어 정책이 미흡해 해커의 공격이 가능한 상태였다. 또 주요 네트워크 구간에 보안 장비를 설치하지 않아 접속 장애가 발생했다. 실제 LG유플러스는 지난 1월 29일 63분(3회), 2월 4일 57분(2회), 유선 인터넷과 주문형 비디오(VOD), 인터넷전화 등에서 접속 장애가 있었다.

해커는 네트워크를 구성하는 LG유플러스의 라우터 장비를 대상으로 공격을 시도해 네트워크 장애를 유발했다. 라우터 장비에 다량의 비정상 패킷이 유입되면서 CPU 이용률이 대폭 상승하면서 통신 장애가 발생한 것이다.

LG유플러스 디도스 공격으로 인한 피해현황. /과기정통부 제공

해커는 지난 1월 29일 해외 및 국내 타 통신사와 연동구간의 주요 네트워크 장비 14대(게이트웨이 3대, 라우터 11대)를 대상으로 디도스 공격을 진행했다. 이에 따라 LG유플러스가 서비스하는 전국 대부분에서 장애가 발생했다. 또 2월 4일에도 내부 가입자 망에서 일부 지역 엣지 라우터 320대(전체 5000대)를 대상으로 디도스 공격을 실시해 해당 지역에 서비스 장애를 일으켰다.

과기정통부는 다른 통신사는 라우터 정보 노출을 최소화하고 있지만 LG유플러스는 디도스 공격 전에 약 68개 이상의 라우터가 외부에 노출된 것을 확인했다. 이를 확인한 해커는 포트 스캔을 통해 LG유플러스 라우터를 특정하고 노출된 포트를 대상으로 디도스 공격을 감행했다. LG유플러스의 주요 라우터는 신뢰할 수 없는 장비와도 통신이 가능한 상태로 운영됐다. 접근제어 정책을 통해 라우터 간 통신 유형을 제한하는 보안 조치를 하지 않은 것이다.

◇ 정보보호 인력·조직·투자 부족… 근본적인 원인 해결 나서야

과기정통부는 외부 공격을 감시 통제하는 장비, 시스템 부재와 함께 경쟁사 대비 부족한 정보보호 인력·조직, 저조한 정보보호 투자를 이번 침해사태의 근본적인 원인으로 꼽았다. 실제 지난해 말 기준 LG유플러스의 정보보호 투자는 292억원으로 국내 통신 3사 중 가장 적었다. 같은 기간 KT와 SK텔레콤의 정보보호 투자는 각각 1021억원, 860억원이다. 정보보호 전담 인력도 LG유플러스는 91명으로 KT(336명), SK텔레콤(305명)의 3분의 1 수준에 불과했다.

과기정통부는 LG유플러스에 메일시스템에만 적용된 인공지능(AI) 기반 모니터링 체계를 고객 정보 처리 시스템으로 확대해 비정상적인 접근에 실시간 대응할 수 있는 감시체계를 구축할 것을 지시했다. 또 정보통신(IT) 자산 중요도에 따른 로그 정책과 중앙 로그 관리 시스템을 구해 정기적으로 점검하도록 했다.

황현식 LG유플러스 대표가 지난 2월 서울 용산 LG유플러스 본사에서 개인정보 유출과 디도스 공격에 따른 서비스 장애에 대해 사과하고 대책을 발표하는 모습. /연합뉴스

디도스 공격 등 네트워크 및 시스템 자산을 보호하기 위해 분기별로 1회 이상 모든 IT자산에 대한 보안 취약점을 점검하고 제거하도록 했다. 동시에 침해사고 예방과 대응, 분석 등에 활용할 수 있는 IT 자산 통합관리시스템을 도입해 시스템 관리체계를 개선하도록 요구했다. 전문 보안인력과 정보보호 투자에 대해서는 경쟁사와 비슷한 수준으로 보강하고, 정보보호책임자(CISO·CPO)를 CEO 직속 조직으로 강화해 전문화된 보안조직 체계를 구성하도록 지시했다.

◇ LG유플러스 “인력·투자 확대, 선진 보안 기술 빠르게 적용”

과기정통부는 LG유플러스 침해사고를 계기로 사업자에게 침해사고 관련 자료 제출을 요구할 수 있는 근거를 마련하고, 신고하지 않은 사업자에게는 최대 2000만원의 과태료를 부과하는 방안을 마련한다. 또 과기정통부가 별도 조치 이행 여부를 점검할 수 있도록 해 사업자가 재발 방지 대책을 실효적으로 이행하도록 유도한다.

이종호 과기정통부 장관은 “LG유플러스에 대한 조사 및 점검 결과 여러 가지 취약점이 확인됐고, 이에 따라 LG유플러스에 책임 있는 시정 조치를 요구했다”라며 “정부도 기존 정보보호 체계를 보다 실효성 높은 체계로 강화해 국민들과 기업이 신뢰하는 안전한 디지털 서비스 강국을 구축해나가겠다”라고 했다.

한편 LG유플러스는 과기정통부의 시정 조치를 존중한다는 입장이다. 동시에 지난 2월 발표한 사이버 안전혁신안을 바탕으로 ▲정보보호 조직·인력·투자 확대 ▲외부 보안 전문가와 취약점 사전점검·모의 해킹 ▲선진화된 보안 기술 적용 및 미래 보안 기술 연구·투자 ▲사이버 보안 전문 인력 육성 ▲사이버 보안 혁신 활동 보고서 발간 등을 빠르게 완성해 나간다는 입장이다.

- Copyright ⓒ 조선비즈 & Chosun.com -