LGU+, 정보 관리자 계정부터 '구멍'…"정부 요구사항 최우선 수행"(종합)

기사내용 요약
정부, LGU+ 사이버 침해사고 원인분석 및 조치 방안 발표
LGU+ "전사 차원에서 시정 수행…뼈 깎는 성찰로 재탄생할 것"

[서울=뉴시스] 최진석 기자 = 황현식 LG유플러스 대표가 16일 서울 용산구 LG 유플러스 용산사옥 대강당에서 열린 LG유플러스 개인정보 유출 및 디도스(DDoS) 공격 관련 기자간담회에서 개인정보 유출 관련 사과 발언을 하고 있다. 2023.02.16. myjs@newsis.com

[서울=뉴시스]윤현성 기자 = 정부가 올해 초 발생한 LG유플러스의 대규모 고객 정보 유출과 분산서비스 거부 공격(DDoS, 디도스)으로 인한 장애의 주요 원인으로 관리자 계정 관리 부실, 라우터 관리 미흡으로 인한 외부 노출 등을 꼽았다.

LG유플러스는 중앙관리시스템 및 IT자산 통합관리시스템 구축, 보안 투자 확대, 모의훈련 확대 등 정부의 시정 요구사항을 전사 차원에서 최우선 수행하겠다고 강조했다.

과학기술정보통신부와 한국인터넷진흥원(KISA)는 27일 오전 서울 종로구 정부서울청사에서 브리핑을 열고 'LGU+ 침해사고 원인분석 및 조치방안'을 발표했다.

지난 1월 초부터 지속된 LG유플러스 대상 사이버공격의 원인을 분석하고 전반적인 정보보호 침해 예방·대응체계를 점검한 뒤 관련 조치사항이 담겼다. 정부는 민관합동조사단, 특별조사점검단 등을 운영해 약 석달에 걸친 심층 조사를 진행해왔다.

29.7만명 고객정보 유출 확인…관리자 계정 부실로 '고객인증 DB'서 최약 지점 발견

68개 라우터 정보 외부 노출…포트 정보 통해 디도스 공격 감행한 듯

LG유플러스 주요 고객정보 처리시스템 개요도. (사진=과기정통부 제공) *재판매 및 DB 금지

LG유플러스가 해커로부터 확보한 유출데이터 60만건은 DB(데이터베이스) 형태의 텍스트 파일로, 총 26개의 컬럼으로 구성됐다. 중복 데이터와 확인 불가 데이터 등을 제외하고 총 29만7117명의 고객정보가 유출된 것으로 파악됐다.

가장 많은 데이터가 저장된 LG유플러스 고객정보 처리 시스템은 전체회원 DB(UCube), 고객인증 DB(CAS), 해지고객 DB 등 3개다. 이 가운데 가장 많은 정보가 유출된 시스템은 고객인증 DB로 파악됐다.
정부는 고객정보가 유출될 수 있는 침해사고 시나리오를 총 16개 마련하고 각 시나리오에 대한 검증을 진행했는데, 고객인증 DB 시스템에서 가장 취약한 지점이 발견됐기 때문이다.

고객인증 DB의 시스템 웹 관리자 계정 암호가 'admin' 같은 시스템 초기암호로 설정돼 있었고, 이를 통해 공격자가 관리자 계정으로 악성코드(웹셸)를 설치한 뒤 파일을 유출했을 가능성이 가장 높았다. 탈취된 관리자 계정이 DB에 접근할 때 별도의 인증체계도 적용되지 않았다.

5회(총 120분)에 걸친 디도스 공격의 원인은 라우터 관리 미흡으로 분석됐다. LG유플러스의 라우터(네트워크 연결 장치)는 디도스 공격 전 약 68개 이상이 외부에 노출돼 있었다.

라우터의 경우 네트워크를 담당하는 주요 기기인 만큼 외부에서 정보를 식별할 수 없도록 접근제어가 적용돼야 한다. 하지만 LG유플러스는 라우터의 IP와 포트 정보가 외부까지 공개돼있었다. 공격자가 이렇게 공개된 포트를 스캔해 LG유플러스 라우터를 특정하고 노출된 포트를 대상으로 디도스 공격을 감행한 것으로 추정된다.

또한 LG유플러스의 주요 라우터는 라우터 간 경로정보 갱신에 필수적인 통신 외에 신뢰할 수 없는 장비와도 통신이 가능한 상태로 운영됐고 비정상 패킷 수신이 가능했다. 일반적으로 접근제어 정책(ACL)을 통해 라우터 간 통신유형을 제한하나 이러한 보안조치가 미흡했다.

광대역데이터망에 라우터 보호를 위한 보안장비(IPS)도 설치돼 있지 않아 이로 인해 내부로 인입되는 패킷의 비정상 여부 검증, 검증 이후 트래픽 제어 등이 불가능했다.

이같은 특별조사점검단의 조사 결과에 따라 정부는 LG유플러스에 ▲AI기반 고객정보처리시스템 구축을 통한 사이버 위협 실시간 감시 ▲IT 자산 중앙로그관리시스템 구축 및 주기적 점검 ▲분기별 1회 이상 모든 IT 자산 보안 취약점 점검 ▲IT자산 통합관리시스템 도입 ▲보안 인력·예산 확대 ▲정보보호책임자(CISO·CPO)의 CEO 직속 조직화 ▲연 2회 이상 맞춤형 사이버훈련 모의훈련 수행 및 임직원 보안교육 ▲실무 반영 보안매뉴얼 개발 등의 시정사항을 요구했다.

[서울=뉴시스] 김명원 기자 = 홍진배 과학기술정보통신부 네트워크정책실장이 27일 오전 서울 종로구 정부서울청사에서 LGU+ 고객정보 유출,디도스공격 원인분석 및 대책을 발표하고 있다. 2023.04.27. kmx1105@newsis.com

LGU+ "정부 요구 사항 최우선 수행…뼈 깎는 성찰로 보안 강한 회사 되겠다"

과기정통부의 발표 이후 LG유플러스는 곧바로 입장문을 내고 정부 요구 사항을 전사 차원에서 최우선으로 수행하겠다고 밝혔다.

LG유플러스는 앞서 지난 2월부터 CEO 직속 사이버안전혁신추진단을 구성해 사이버 공격에 대한 자산 보호, 인프라 고도화를 통한 정보보호 강화, 개인정보 관리 체계 강화, 정보보호 수준 향상 등 4대 핵심 과제와 102개 세부 과제를 수행해왔다. 정보보호 투자 규모 또한 기존의 292억원에서 1000억원 수준으로 대폭 확대하기로 했다.

사고 직후에도 개인정보 보호 및 디도스 방어를 위한 긴급 진단 및 보안장비(ISP)·솔루션 도입을 추진하고, 접근제어 정책(ACL)도 강화했다. 정부가 꼽은 보안 취약점 가운데 즉시 개선이 가능한 부분들부터 조치를 시작한 것이다.

IT 통합자산관리시스템, AI 기반 모니터링 등의 시정사항도 세부 과제로써 착수했으며, 외부전문가로 구성된 정보보호자문위원회 출범, 회사 내 정보보호책임자 조직 개선, 피해보상협의체 운영 등 기타 후속 대책도 병행하고 있다.

LG유플러스는 새롭게 임명되는 CISO, CPO를 주축으로 개인정보를 비롯한 전사적인 정보보호 강화 활동을 지속할 예정이라고 강조했다.

LG유플러스는 "(시정) 진행상황은 단계별로 투명하게 공개하고, 종합적 보안 대책은 추후 상세히 설명하는 시간을 갖겠다"며 "뼈를 깎는 성찰로 고객들에게 더 깊은 신뢰를 주는, 보안, 품질에 있어 가장 강한 회사로 거듭나겠다. 다시 한번 진심으로 사과드린다"고 전했다.


☞공감언론 뉴시스 hsyhs@newsis.com