고객 정보유출 고개숙인 LGU+, "보안·품질 역량 강화할 것"

남궁경 2023. 4. 27. 15:14
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
정부, LGU+에 침해사고 관련 재발방지 대책 마련·시정조치 요구

LG유플러스 사옥 전경.ⓒLG유플러스

LG유플러스 사옥 전경.ⓒLG유플러스

올해 1월 LG유플러스에서 발생한 고객 정보 유출 원인이 고객인증 시스템 미흡과 실시간 탐지 체계 등 보안책 부재로 드러났다. 정부는 재발 방지를 위해 LG유플러스에 관련 관리 시스템을 강화하고 정보보호 인력·조직·투자 규모를 경쟁사 수준으로 끌어올리라고 요구했다.


홍진배 과학기술정보통신부 네트워크정책실장은 27일 오전 서울 광화문 정부서울청사에서 열린 브리핑에서 "이번 사태로 유출된 고객정보는 29만 7117명"이라고 밝혔다. 다만 현재 해커가 3000만건의 개인정보를 가지고 있다고 주장하고 있는 만큼, 유출 규모가 확대될 가능성도 배제할 수 없는 상황이다. 홍 실장은 "유출 규모가 더욱 확대될 수 있는 가능성도 열어두고 예의주시 하고 있다"라고 말했다.과기정통부는 29만7117명 중 399명의 신원 확인은 하지 못했다.


과기정통부는 정확한 유출 경로를 파악하지 못했다. 지난 2018년 당시 해당 시스템과 데이터베이스(DB) 접속 등에 대한 로그 정보가 거의 남아 있지 않아, 로그 분석을 통한 사고조사에는 한계가 있었다는 설명이다. 기간통신사업자의 개인정보처리시스템 접속기록 의무 보존 관리 기간은 2년이다.


과기정통부는 고객정보가 유출될 수 있는 침해사고 시나리오를 마련(총16개)하고 ▲인터넷 연결 여부 ▲ 해킹에 악용되는 취약점 존재 여부 ▲접근제어 정책 적용 여부 ▲불필요한 파일 등 관리 여부 등 4가지 위협 판단기준에 따라 각각의 시나리오 검증을 진행했다. 이 과정에서 2018년 6월에 LG유플러스 대상으로 시행한 취약점 분석 결과보고서를 근거로 당시 고객인증 DB 시스템의 취약점을 확인했다고 설명했다.


다만 LG유플러스가 고객 인증 시스템에서 암호나 데이터베이스(DB) 접근 제어가 미흡했고, 대용량 데이터 이동 등에 대한 실시간 탐지 체계가 없었던 점을 사고 원인으로 추정했다.


과기정통부에 따르면, 당시 고객인증 DB 시스템은 웹 관리자 계정 암호가 시스템 초기암호로 설정돼 있었고 ▲시스템에 웹취약점이 있어 해당 관리자 계정으로 악성코드를 설치할 수 있었다. 관리자의 DB접근제어 등 인증체계가 미흡하기 때문에 해커가 웹셸(악성코드)을 이용해 파일을 유출해 나갈 수 있었을 것으로 추정했다.


해커의 정체도 파악되지 않았다. 홍 실장은 "현재 과기정통부 조사와 별도로, 경찰청에서는 수사를 진행을 하고 있다"라고 말했다.


정부는 스미싱, 이메일 피싱, 불법로그인, 유심(USIM) 복제 등 2차 피해 가능성도 있다고 봤다. 다만 불법로그인은 비밀번호가 암호화되어 있고, USIM 복제는 실제 USIM의 개인키가 있어야 하므로 피해 발생 가능성은 낮은 것으로 판단했다.


과기정통부는LG유플러스 고객 정보 등이 포함된 대용량 데이터가 외부로 유출될 때, 이러한 비정상 행위의 위험성을 실시간으로 감시하고 통제할 수 있는 자동화된 시스템이 없었던 것으로 봤다. 네트워크 내·외부 대용량 데이터 이동 등 이상 징후를 탐지하고 차단할 수 있는 실시간 감시체계가 부재했다고 지적했다. 또 시스템별 로그 저장 기준과 보관기간도 불규칙했다고 설명했다.


이에 과기정통부는LG유플러스에 메일시스템에만 적용된 AI기반 모니터링 체계를 고객정보처리시스템까지 대상을 확대해 사이버위협에 대해 실시간으로 감시할 수 있도록 개선하는 한편, IT자산 중요도에 따른 로그정책과 중앙로그관리시스템을 수립·구축하고 주기적인 점검을 수행하도록 조치했다.


과기정통부는 무엇보다 타 통신사 대비 보안투자가 상대적으로 저조한 점을 꼬집으며 주요 보안인력을 타 통신사와 대등한 수준으로 보강하고, 정보보호책임자(CISOㆍCPO)를CEO직속 조직으로 강화해 보다 전문화된 보안조직 체계를 구성해야 한다고 강조했다. 실제 지난해 LG유플러스의 전체 정보통신 투자 대비 정보보호 투자액 비중은 3.7%로 KT(5.2%), SK텔레콤(3.9%)보다 낮았다. 정보보호 인력도 KT 336명, SK텔레콤 305명에 비해 훨씬 적은 91명 수준이었다.


더불어 정보보호 강화에 필요한 예산 규모를 타 통신사와 대등한 수준 이상으로 확대하되, 한시적인 투자 확대가 아닌 장기 계획에 따른 보완 투자가 진행될 수 있도록 요구했다.


LG유플러스는 이번 사태를 계기를 뒤돌아보고 새로운 회사로 거듭나겠다는 계획을 밝혔다. LG유플러스는 해킹 사태 발생 직후인 지난 2월 황현식 최고경영자(CEO) 직속의 사이버안전혁신추진단을 구성하고 ▲사이버 공격에 대한 자산 보호 ▲인프라 고도화를 통한 정보보호 강화 ▲개인정보 관리 체계 강화 ▲정보보호 수준 향상 등 4대 핵심 과제에 102개 세부 과제를 선정해 수행 중이다. 이를 위한 1000억 규모의 대규모 투자도 진행하고 있다.


LG유플러스는 이날 입장문을 통해 "과학기술정보통신부의 원인 분석 결과에 따른 시정 요구사항을 전사적인 차원에서 최우선으로 수행할 예정"이라고 했다. 그러면서 "그동안 외부에서 준 다양한 염려와 의견을 충분히 반영하고, 뼈를 깎는 성찰로 고객들에게 더 깊은 신뢰를 주는, 보안·품질에 있어 가장 강한 회사로 거듭나겠다"라고 강조했다.

Copyright © 데일리안. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
데일리안에서 직접 확인하세요. 해당 언론사로 이동합니다.