"LGU+ 시스템 관리자 계정 암호, 초기 설정 그대로 썼다"

기사내용 요약
[일문일답]홍진배 과기정통부 NW 실장, LGU+ 사고 원인분석 발표
"침해사고 시나리오 16개 검증…고객인증 DB 암호 취약점 확인돼"

[서울=뉴시스] 김명원 기자 = 홍진배 과학기술정보통신부 네트워크정책실장이 27일 오전 서울 종로구 정부서울청사에서 LGU+ 고객정보 유출,디도스공격 원인분석 및 대책을 발표하고 있다. 2023.04.27. kmx1105@newsis.com

[서울=뉴시스]윤현성 심지혜 기자 = "고객인증 시스템의 웹 관리자 계정 암호가 시스템 초기 암호로 설정돼 있었습니다. 제품이 납품됐을 때의 상태여서 쉽게 탈취가 가능했던 겁니다."

27일 과학기술정보통시부에 따르면 올해 초 발생한 LG유플러스의 대규모 고객 개인정보 유출과 분산서비스 거부 공격(DDoS, 디도스)으로 인한 장애는 사측의 장비 관리 및 통제 정책 미흡, 탐지 시스템 부재, 보안 투자 저조 등이 원인이었다.

특히 가장 많은 정보 유출이 발생한 고객인증 DB(데이터베이스) 시스템의 관리자 계정 암호가 별도 설정되지 않고 초기 암호를 그대로 사용했던 것으로 파악됐다. 해커들의 입장에서는 대량의 개인정보가 보관된 창고의 비밀번호가 사실상 '1234' 수준에 그쳤던 셈이다.

홍진배 과기정통부 네트워크정책실장은 이날 오전 서울 종로구 정부서울청사에서 'LGU+ 침해사고 원인분석 및 조치방안'을 발표하며 이같이 밝혔다.

홍 실장은 "고객정보가 유출될 수 있는 침해사고 시나리오 16개를 마련해 각각 검증해봤는데, 고객인증 DB 시스템의 취약점을 확인할 수 있었다"며 "고객인증 시스템의 관리자 계정 암호가 통상 'admin'으로 쓰는 그런 초기 암호로 설정돼있었다. 가장 유력한 (유출) 시나리오"라고 설명했다.

이처럼 관리자 계정 암호가 복잡한 구조가 아니라 해커들이 손쉽게 뚫어낼 수 있는 초기 기본 설정으로 돼있어서 손쉬운 개인정보 유출이 가능했다는 것이다. 공격자들이 관리자 계정을 통해 원격에서 공격 대상 웹 서버에 명령을 실행할 수 있는 '웹셸' 악성코드를 설치했고, 이를 통해 파일이 유출된 것으로 추정된다. 탈취된 관리자 계정이 DB에 접근할 때 별도의 인증체계도 적용되지 않았다.

이외에도 LG유플러스는 실시간 탐지체계 부재, 내부 라우터 장비의 외부 노출, 라우터간 접근제어 정책 미흡, 보안장비 미설치, 정보보호 인력·조직·투자 부족 등의 문제로 이번 대규모 사이버 침해 사태를 야기한 것으로 파악됐다.

과기정통부와 한국인터넷진흥원(KISA)는 LG유플러스에 모니터링 체계 구축, 모든 IT 자산에 대한 분기별 1회 이상 취약점 점검, IPS 등 보안장비 구축, 맞춤형 모의훈련 시행 등 후속 조치 방안을 촉구했다.

정부는 추가적으로 발생할 수 있는 (침해사고) 가능성에 대비하기 위해 지속 모니터링하고 대응 체제를 유지한다는 방침이다.

다음은 홍진배 과기정통부 네트워크정책실장과의 일문일답이다.

-LG유플러스가 정보 유출에 대한 사실을 고객에게 공지한 게 늦은 것 같다. 개인정보호법 위반에 해당하는 부분이 있나?

"LG유플러스는 정부가 1월 2일에 알려주면서 인지했다. 이후 1월 10일에 고객에게 통지했다. 개인정보보호위원회가 고객 통지의 적정성에 대해 별도로 조사 중이다."

-해지 고객 데이터도 보유 기간을 넘긴 것인가?

"개인정보 관련 위법성 여부는 개보위에서 별도로 조사 중이다. 현행법에 따라 탈퇴한 회원도 개별법에서 요구하는 경우 해지 고객 정보를 일정 기간 보유를 할 수 있다. 전자상거래보호법이라든가 국세와 관련된 법률에 따라서 5년까지 개별법에서 요구하는 기간까지 보유할 수 있다. 해지 고객 정보 자체를 보유했다는 것만으로 위법으로 보기는 어렵다."

-LG유플러스는 유출 고객정보 규모를 초기에 18만명으로 공지했다 이후 11만명을 추가했다. 추가 공지까지 3주가량이 걸렸지만 문제시 하지 않았다. 앞으로 이렇게 늑장 신고나 축소 발표가 있을 경우 어떤 조치를 취할 건가

"침해사고 신고에 대해서는 정보통신망법에서 개선해야 한다. 또 개보법에 따라 통지가 적정하게 이뤄졌는지 살펴보고 있다. 결과에 따라 추후 개보위에서 별도로 말할 수 있을 것이다."

-원인을 전부 ‘추정’했다. 확실한 게 없다. 해커도 그렇고 디도스 공격자도 못 찾았다. 추후 원인이 발생하면 또 다시 시정조치를 할 것인가

"먼저 고객정보 유출의 경우 ‘컬럼’을 대조해서 확인했기 때문에 여기에서 나간 것을 확인한 거다. 확인에 가까운 수준이다.

어떻게 나갔는지는 여러 시스템에 남은 로그로 확인해야 하는데 보존기간이 2년이다. 5년이 지나서 남은 게 없다. 그래서 가상으로 설명할 수가 없다. 다만 당시 외부 기관에서 분석했던 보고서가 취약점을 지적했다. 이걸 바탕으로 다시 해석할 수 있었다. 16개 시나리오를 놓고 분석했을 때 가장 근거가 있는 추정으로 밝힌 것이다."

-계속 조사한다 해도 공격자를 찾을 수 없는 건가

"경찰에서 추적하고 있다. 공격자를 찾는 것은 경찰이 백방으로 하지만 못 찾는 경우가 굉장히 많다. 공격자를 찾거나 추가적 증거가 나온다면 다시 분석할 계획이다. 120개 시스템을 최대한 조사해 공격을 역추적했다."

-기업들은 일단 (고객 개인정보가) 유출됐다는 지적이 외부에서 나오면 본인들에게서 나간 게 아니라고 한다. 이와 관련한 법제 개선을 한다고 했는데 어떻게 할 계획인가

"기본적으로 침해사고를 당한 기업들이 침해사고를 당한 사실 자체를 노출 안 시키려는 유인이 굉장히 강하다. 기본적으로 침해사고를 신고 받은 사실에 대한 외부 노출을 제한, 보호한다. 신고하지 않았을 때에는 과태료를 상향하는 등 당근과 채찍 두가지를 병행해서 침해사고 신고를 최대한 유도하려고 한다. 침해사고가 발생했을 때에는 빨리 신고하는 게 굉장히 중요하다. 이 부분은 제도개선을 통해 조금 더 진전될 수 있도록 하겠다.

사실은 침해사고를 신고했다고 해서 그 사업자를 처벌하지 않는다, 그 기업도, 해당 조직도 피해자이기 때문이다. 다만 이번처럼 개인정보 관리를 부실하게 한 경우에는 그거는 별도 법에 따른 처벌 대상이 된다."

-정보 유출 시점이 2018년 6월 15일 03시 58분으로 추정되는데 이후 LG유플러스에 가입한 소비자들은 안전하다고 볼 수 있는가

"침해사고에 있어서 100% 안전하다고 단정하기 어렵다. 다만 그 때 나타났던 취약점에 대해서는 보완했다. 조사 과정에서 또 발견된 취약점도 이번에 보완했다. 취약점은 운영 과정에서 계속 발생한다. 그래서 모든 IT자산에 대해 취약점 점검을 분기별로 1회 이상 하도록 권고했다. 특히 AI 기반의 모니터링 체제, 중앙관리시스템 등을 권고했는데 LG유플러스가 전향적으로 검토하고 있어 지금보다 보안 수준이 획기적으로 높아질 것으로 보인다."

-디도스 공격으로 PC방에서 피해를 많이 호소했다. 최근에도 LG유플러스 망을 사용하는 PC방은 망이 불안하다는 우려가 나온다. 디도스 공격으로 인한 장애가 추가 파악된 게 있는가

"이후 디도스 공격은 있었다. 이후 자체 방어로 장애가 이어지지 않은 것으로 판단하고 있다. 약하다고 생각되면 공격자는 계속 공격하는 습성이 있다. 조사가 들어간 이후 긴급 보안조치를 시행해 방어했다."

-디도스 공격과 관련, 내부 라우터 장비 정보가 외부에 노출됐다고 하는데 어떻게 된 것인지 궁금하다.

"라우터는 네트워크를 담당하는 주요 기기이기 때문에 외부에서 해당 정보를 식별할 수 없게 접근제어 정책을 통해서 가려야 된다. 그런데 LG는 라우터의 IP와 포트 정보가 노출이 돼 있는 상태로 있었다. 1월 초 68개 라우터 정보가 노출이 돼 있었다. 해커도 라우터를 식별할 수 있는 상황이었다. 일반적으로는 라우터들은 신뢰할 수 있는 라우터들끼리만 식별할 수 있도록 가려져 있어야 되는데 그런 부분이 미흡했다."

-IP를 가짜 IP로 바꾸는 ‘스푸핑’이 이뤄졌다고 하는데 최종 IP 소재지가 확인됐나?

"일반적으로 해커들이 공격을 할 때 자기 공격하는 공격 원점을 노출시키지 않기 위해서 IP를 가짜 IP로 바꾼다. 가짜 IP로 바꿔 공격하면 검찰이나 조사하는 쪽이 추적하기가 어렵다. 그래서 이번 공격들도 IP를 스푸핑해서 공격했기 때문에 지금 경찰 조사나 추적이 시간이 걸린다."

☞공감언론 뉴시스 hsyhs@newsis.com, siming@newsis.com