'정보유출' LGU+, 관리자 비번 'admin'…"보안 투자·인력도 부족"

변휘 기자 2023. 4. 27. 15:15
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
(상보)LG유플러스 보안사고 조사·대책 발표…"해커는 경찰 수사중"
LG유플러스 "뼈 깎는 성찰…보안·품질 강한 회사 되겠다"

올해 초 LG유플러스의 고객정보 유출, 인터넷 접속 장애 사고에 대해 정부가 부족한 정보보안 투자·인력을 지목하며 "경쟁사 수준으로 끌어올릴 것"을 요구했다. 또 고객정보 데이터베이스(DB)의 관리자 계정 암호가 시스템 납품 시 초기 비밀번호 그대로였고, 라우터 정보를 대거 노출해 디도스(DDoS, 분산서비스 거부 공격) 공격을 자초하는 등 보안 관리도 허술했던 것으로 나타났다.

과학기술정보통신부와 한국인터넷진흥원(KISA) 특별조사점검단은 올해 초 LG유플러스의 사이버 침해 사고에 대한 점검·분석과 대응 조치를 27일 발표했다.

고객정보 유출 사건은 올해 1월1일 신원미상 해커가 온라인에 'LG유플러스 고객정보 2000만건을 6비트코인(약 2억3000만원)에 판매한다'는 글을 올리며 알려졌다. 또 1월 29일 3차례에 걸쳐 63분, 2월 4일 2차례에 걸쳐 57분 간 LG유플러스 네트워크 장비를 대상으로 디도스 공격이 발생해 전국적으로 유선인터넷 등 서비스 장애가 발생했다.

우선 조사단은 해커가 LG유플러스의 '고객인증DB'를 공략해 고객정보를 탈취한 것으로 파악했다. 유출된 데이터의 마지막 업데이트가 2018년 6월15일이었던 것에 비춰보면, 탈취 시점도 그 직후로 추정된다.

조사단은 해커가 LG유플러스에 전달한 데이터, 직접 온라인에 올린 이미지 등을 대조해 총 29만7117명의 고객정보가 유출된 것으로 파악했다. 다만 해커가 공개한 데이터를 기반으로 분석한 수치인 만큼 "해커가 추가로 고객 데이터를 보유했다고 단정하기 어렵지만, 유출 규모가 더욱 확대될 가능성도 배제하기 어렵다"고 설명했다.

LG유플러스의 허술한 고객정보 관리 실태도 드러났다. 과기정통부는 "고객인증DB의 웹 관리자 계정 암호가 납품됐을 때의 초기 암호로 설정돼 있었다. 통상 쓰는 'admin'류"라고 지적했다. 해커가 이처럼 허술한 관리자 계정을 파고들어 악성코드를 설치하고, 이를 활용해 데이터를 외부로 유출했으며, 대규모 데이터가 흘러나갈 때 비정상 행위의 위험성을 감지하는 시스템조차 없었다는 판단이다.

해커의 실체에는 다가서지 못했다. 과기정통부 관계자는 "경찰이 별도로 수사를 진행 중이지만, (유사 범죄에서) 해커를 찾지 못하는 사례가 많다"고 말했다. LG유플러스가 1월 2일 고객정보 유출을 인지하고도 같은 달 10일 고객에 '늑장 통지'했다는 지적에는 "개인정보보호위원회에서 고객 통지의 적정성을 별도로 조사중"이라고 설명했다.

조사단은 유선통신망 장애에 대해서도 LG유플러스의 부실 운영을 지적했다. 라우터 정보 노출을 최소화하는 다른 통신사와 달리 LG유플러스는 68개 가량의 라우터를 외부에 노출했고, 이를 통해 공격자가 LG유플러스 라우터를 특정해 디도스 공격을 감행했다는 것. 또 LG유플러스의 주요 라우터는 신뢰할 수 없는 장비와 통신하거나 비정상 패킷 수신이 가능한 상태였다.

LG유플러스의 보안 인력·투자가 경쟁사 대비 부족하다는 점도 꼬집었다. 지난해 통신3사의 정보보호 투자액 및 인력 규모는 △KT 1021억원, 336명 △SK텔레콤 860억원, 305명 △LG유플러스 292억원, 91명 순이었다. 과기정통부는 "정보보호 강화에 필요한 예산 규모와 보안 인력을 다른 통신사와 대등한 수준으로 보강해야 한다"고 강조했다.

이와 함께 과기정통부는 △현재 개별 사이버 위협에 대응하는 탐지 시스템을 올해부터 '통합 탐지 시스템'으로 전환하고 △침해사고 미신고 사업자 과태료를 상향(최대 1000만원→2000만원)하며 △ '아무것도 신뢰하지 않는다'를 전제로 이용자에 최소한의 권한을 부여하는 '제로 트러스트' 보안 모델 시범사업을 추진한다.

이종호 과기정통부 장관은 "LG유플러스와 같은 기간통신사업자는 침해 사고가 국민 일상의 불편을 넘어 막대한 경제적 피해, 사회 전반의 마비 등을 야기할 수 있음을 인식하고 사이버위협 예방·대응에 충분한 투자와 노력을 다할 책무가 있다"고 지적했다.

한편 LG유플러스는 이날 입장문을 통해 "과기정통부의 원인 분석 결과에 따른 시정 요구사항을 전사적인 차원에서 최우선으로 수행하겠다"며 "뼈를 깎는 성찰로 고객들에게 더 깊은 신뢰를 주는, 보안·품질에 있어 가장 강한 회사로 거듭나겠다"고 밝혔다.

변휘 기자 hynews@mt.co.kr

Copyright © 머니투데이 & mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지

이 기사에 대해 어떻게 생각하시나요?
머니투데이에서 직접 확인하세요. 해당 언론사로 이동합니다.