'개인정보 유출' LGU+, 고객DB·라우터 무방비 노출이 원인

과기정통부, 침해사고 원인 분석
고객인증 시스템 취약
저조한 정보보호 투자
정부, 재발방지 대책·시정조치 요구

LG유플러스 대리점

[파이낸셜뉴스] 올해 초 발생한 LG유플러스의 개인정보 유출·디도스(분산 서비스 거부) 공격으로 인한 유선인터넷 장애 사고가 미흡한 고객정보 데이터베이스(DB) 관리 및 통신 라우터 외부 노출 등으로 인해 발생한 것으로 파악됐다. 정부는 LG유플러스에 시정조치를 요구하는 한편, 제도 개선을 통해 사이버 장애 사태를 최대한 예방한다는 방침이다.

과학기술정보통신부와 한국인터넷진흥원(KISA)은 이 같은 내용을 담은 'LG유플러스 침해사고 원인분석 및 조치방안'을 27일 발표했다.

앞서 LG유플러스는 올해 초 수차례에 걸쳐 고객정보 유출, 유선인터넷 장애 사태를 겪은 바 있다. 이에 과기정통부와 KISA는 민관 합동조사단을 운영해 왔다.

과기정통부는 1월 시작된 해킹으로 LG유플러스는 지금까지 총 29만7117명의 고객정보가 유출된 것으로 최종 확인했다. 정부는 향후 유출규모가 확대될 수 있는 가능성까지 감안해 모니터링을 이어나갈 예정이다. 유출 시점은 '고객정보 변경시간' 컬럼 값을 근거로 유출 시점을 판단했을 때 2018년 6월 15일 이후 유출 파일이 생성된 것으로 추정된다. 당시 고객인증 DV 시스템은 웹 관리자 계정 암호가 시스템 초기암호로 설정돼 있었다. 따라서 해당 관리자 계정으로 악성 코드를 설치할 수 있었으며 관리자의 DB접근제어 등 인증체계가 미흡해 해커가 웹셸을 이용해 파일을 유출해 나갈 수 있었을 것으로 정부는 추정하고 있다. 고객정보 유출로 인해 추가로 발생 가능한 2차 피해는 스미싱, 이메일 피싱 등이 있다.

디도스 공격 피해는 1월 29일과 2월 4일 두차례에 걸쳐 발생했다. 공격자는 1월 29일에 3회 총 63분 동안 해외 및 국내 타 통신사와 연동 구간(IX)의 주요 네트워크 장비 14대를 대상으로 공격했다. 2월 4일에는 2회 총 57분 동안 내부 가입자망에서 일부 지역 엣지(Edge) 라우터 약 320대를 대상으로 디도스 공격을 했다.

공격자는 네트워크를 구성하는 통신사의 라우터 장비를 대상으로 장애를 유발했는데, 다량의 LG유플러스 라우터가 외부에 노출됐던 것으로 파악됐다. 일반적으로 통신사는 라우터 정보를 외부에 노출시키지 않는데, 이번 공격 전 노출된 LG유플러스의 라우터 개수는 68개 이상이다.

아울러 LG유플러스의 주요 라우터는 라우터 간 경로정보 갱신에 필수적인 통신 외 신뢰할 수 없는 장비와도 통신이 가능한 상태로 운영돼 비정상 패킷 수신이 가능했다. 일반적으로 접근제어 정책(ACL)을 통해 라우터 간 통신유형을 제한하는데, LG유플러스는 이 같은 보안조치에 있어 미흡했다고 정부는 설명했다.

이에 정부는 LG유플러스에 인공지능(AI) 기반 모니터링 체계를 고객정보처리시스템까지 대상을 확대하는 등 시정조치를 요구했다.

이외에도 과기정통부는 최근 더 다양해지고 확대되고 있는 지능적, 조직적인 사이버위협에 보다 선제적·체계적으로 대응하기 위해 기존 사이버위기 예방·대응 체계를 개편하는 한편, 관련 제도 개선을 추진한다.

먼저, 과기정통부와 KISA는 사이버침해대응센터의 침해사고 탐지·분석 대응체계를 고도화해 나갈 계획이다.

이종호 과기정통부 장관은 “기간통신사업자는 침해사고가 국민 일상의 불편을 넘어 막대한 경제적 피해, 사회 전반의 마비 등을 야기할 수 있음을 엄중히 인식하고 사이버위협 예방 및 대응에 충분한 투자와 노력을 다함으로써 국민들의 안전한 디지털 서비스 이용을 보장해야 할 책무가 있다"며 " “정부도 날이 갈수록 다양해지고 확대되고 있는 지능적·조직적 사이버 위협에 대비해 기존 정보보호 체계를 보다 실효성 높은 체계로 강화해 국민들과 기업이 신뢰하는 안전한 디지털 서비스 강국을 구축해나가겠다”고 밝혔다.
#해킹 #LG유플러스 #개인정보 #디도스