과기부 “LGU+ 고객정보유출·디도스 피해, 정보 보호 투자 미흡한 탓”

LGU+에서 발생한 고객 정보 유출과 디도스 공격 피해는 LGU+의 정보 보호 투자 부족 때문인 것으로 드러났습니다.

과학기술정보통신부는 오늘(27일) ‘LGU+ 침해사고 원인 분석 및 조치 방안’을 발표하며 이 같이 밝혔습니다.

먼저 정부는 고객 정보가 유출된 경로로 ‘고객 인증 데이터베이스(DB)’를 지목했습니다.

또 유출 시점은 새 나간 데이터의 마지막 업데이트 시기인 2018년 6월 15일 새벽 3시 58분 직후로 추정했습니다.

과기정통부는 LGU+의 당시 고객인증 DB 시스템은 웹 관리자 계정 암호가 시스템 초기 암호로 설정돼 있었고, 시스템에 취약점이 있어서 관리자 계정으로 악성 코드를 설치할 수 있었다고 설명했습니다.

또 관리자의 DB 접근 제어 등 인증 체계 역시 미흡해, 악성 코드를 이용한 파일 유출이 가능했던 것으로 보고 있습니다.

LGU+의 미흡한 관리 시스템으로 29만 7,117명의 휴대전화 번호와 이름, 주소, 생년월일, 이메일, 유심(USIM) 고유번호 등 고객 정보가 유출됐다고 과기정통부는 말했습니다.

더불어 고객정보 유출로 인한 스미싱, 이메일 피싱 등 2차 피해 가능성도 우려하고 있습니다.

과기정통부는 올해 초 디도스 공격으로 인한 유선 인터넷, VOD 접속 장애 등도 LGU+의 시스템 보호 조치 미흡으로 인한 것이었다고 밝혔습니다.

디도스 공격은 지난 1월 29일에 3회에 걸쳐 모두 63분 동안, 2월 4일에는 2회에 걸쳐 모두 57분 동안 발생했습니다.

과기정통부가 분석한 결과, 다른 통신사업자들은 네트워크 연결 장치인 ‘라우터’ 정보 노출을 최소화하고 있었는데, LGU+ 디도스 공격 전에 약 68개 이상의 라우터가 외부에 노출돼 있던 것으로 파악됐습니다.

지난 디도스 공격도 LGU+ 라우터를 특정하고, 이런 노출된 장치를 대상으로 한 것이었다고 정부는 설명했습니다.

심지어 LGU+의 주요 라우터는 신뢰할 수 없는 장비와도 통신이 가능한 상태로 운영됐던 것으로 조사 결과 드러났습니다.

일반적으로 접근 제어 정책을 통해 라우터 간 통신 유형을 제한하나, LGU+는 이러한 보안조치 역시 미흡했다고 지적했습니다.

결국, 두 사건은 LGU+의 기술적인 측면과 관리 부분 모두 미흡했기 때문에 발생했다는 것이 정부의 설명입니다.

실제로 2020년 기준 LGU+의 정보보호 투자액은 292억 원이었고 정보 보호 인력은 91명이었는데, KT가 1,021억 원에 336명, SKT(SKB) 860억 원에 305명인 것과 비교하면 상대적으로 작았습니다.

이번 조사 결과에 따라 정부는 재발 방지를 위한 기술적 보완 조치를 LGU+에 지시했습니다.

분기별 보안 취약점 점검·제거, 실시간 모니터링 체계와 IT자산 통합 관리 시스템 개발·구축, 보안장비 구축·점검 등입니다.

또 정보 보호 인력과 예산을 다른 이통사 수준까지 확대할 것과 CEO 직속 정보 보호 조직을 구성할 것, 맞춤형 모의훈련과 보안 필수 교육 진행 등 관리적인 측면에서도 시정조치를 요구했습니다.

이종호 과기정통부 장관은 “기간통신사업자인 LGU+에 대한 조사·점검 결과 여러 가지 취약점이 확인됐다”면서 “기간통신사업자는 침해사고가 국민 일상의 불편을 넘어 막대한 경제적 피해와 사회 전반의 마비 등을 발생시킬 수 있다는 것을 인식하고 사이버 위협 예방 및 대응에 충분한 투자와 노력을 다해야 할 책무를 명심해야 한다.”라고 밝혔습니다.

[사진 출처 : 연합뉴스]

전현우 기자 (kbsni@kbs.co.kr)