LG유플러스 정보 유출 '30만명'… 원인은 실시간 탐지체계 미흡

과학기술정보통신부는 한국인터넷진흥원(KISA)과 함께 'LGU+ 침해사고 원인분석 및 조치방안'을 27일 발표했다. /사진=뉴스1

올해 초 LG유플러스 이용자 약 30만여명의 개인정보가 유출된 것은 취약한 고객인증 시스템과 대용량 데이터 이동 등을 실시간으로 감시·통제할 수 있는 자동화 시스템의 부재가 원인으로 조사됐다.

━

정보 유출·인터넷 먹통… "LG유플러스, 감시 체계 미흡"

━

황현식 LG유플러스 대표가 지난 2월16일 서울 용산구 LG유플러스 용산사옥 대강당에서 진행된 개인정보 유출 및 디도스(DDoS) 공격 관련 기자간담회에서 개인정보 유출 관련 사과 인사를 하고 있다. /사진=양진원 기자

과학기술정보통신부는 한국인터넷진흥원(KISA)과 함께 'LGU+ 침해사고 원인분석 및 조치방안'을 27일 발표했다.

올해 1월 LG유플러스를 대상으로 한 사이버 공격으로 대규모 이용자 정보 유출, 유선 인터넷 장애 등이 발생했다. 이후 과기정통부는 KISA와 함께 민관합동조사단, 특별조사점검단 등을 운영해 원인 조사에 착수했다.

과기정통부와 KISA는 LG유플러스의 고객정보 대량 유출을 중대한 침해사고로 보고 지난 1월11일부터 현장조사를 실시하고 원인분석과 재발방지 대책방안을 찾아내기 위해 디지털포렌식 등 외부 전문가를 포함한 '민관합동조사단'을 운영했다.

이후 LG유플러스 정보통신망에 대한 분산서비스 거부 공격(DDoS·디도스)으로 유선 인터넷 접속 장애가 반복적으로 발생하자 LG유플러스의 정보보호 예방 대응 체계를 심층적으로 점검할 필요가 있다고 판단해 기존 조사단을'특별조사점검단'으로 개편하여 2월6일부터 조사·점검을 수행했다.

조사 결과 총 29만7117명의 데이터가 유출됐다. 유출 정보 내용은 휴대전화번호, 성명, 주소, 생년월일, 암호화된 주민등록번호, 이메일, 모델명, 유심 고유번호 등이다.

과기정통부는 유출 규모가 더욱 확대될 수 있는 가능성을 배제하기 어렵다고 밝혔다.

과기정통부와 KISA에 따르면 유출 시점은 2018년 6월15일 이후로 추정됐다. 부가 서비스에 대한 인증 기능을 수행하는 고객 인증 데이터베이스(DB) 시스템이 취약해 유출 사태가 벌어진 것으로 파악됐다.

당시 해당 시스템은 웹 관리자 계정 암호가 시스템 초기 암호로 설정됐다. 시스템 내 취약점이 있어 해커가 해당 관리자 계정으로 악성코드를 설치할 수 있었고 동시에 인증체계가 미흡해 파일을 유출할 수 있을 것으로 추정된다.

LG유플러스는 이용자 데이터가 유출될 때 이를 실시간으로 감지하고 통제할 수 있는 감시 체계가 없었다. 시스템별 로그 저장 기준과 보관기간 역시 일정하지 않았다.

과기정통부는 이용자 정보 유출로 스미싱, 이메일 피싱, 불법 로그인, 유심 복제 등 2차 피해를 우려했다. 불법 로그인과 유심 복제의 가능성은 낮다고 판단했다.

디도스 공격으로 인한 인터넷 접속 장애 LG유플러스의 라우터(서로 다른 네트워크를 연결해주는 장치)가 외부에 노출된 것이 발단이었다.

타 통신사와는 달리 LG유플러스는 약 68개 이상의 라우터가 외부에 노출됐고 공격자는 해당 장비를 공략해 네트워크 장애를 일으켰다.

특히 LG유플러스 주요 라우터는 신뢰할 수 없는 장비와도 통신이 가능한 상태로 운영돼 비정상 패킷 수신이 가능했다. 접근 제어 정책(ACL) 등 보안 조치가 미흡했던 것이다.

라우터 보호를 위한 보안장비(IPS)가 설치되지 않았던 점도 원인 중 하나였다. 네트워크 각 구간에 침입 탐지·차단 보안장비가 없었고 전사 정보기술(IT) 자원에 대한 통합 관리 시스템도 부재했다.

━

과기정통부, LG유플러스에 강력한 재발 방지 노력 요구

━

LG유플러스 용산 사옥. /사진=뉴스1

과기정통부는 앞으로 이러한 사태를 방지하고자 인공지능(AI) 기반 모니터링 체계를 고객 정보 처리 시스템까지 확대하라고 요구했다. 로그 정책과 중앙 로그 관리 시스템을 수립·구축하고 주기적인 점검을 수행하도록 했다.

분기별로 1회 이상 모든 IT자산에 대한 보안 취약점을 점검하고 제거할 것을 요구했다. 이어 침해사고 예방·대응·분석 등에 활용할 수 있는 IT자산 통합관리시스템을 도입해 시스템 관리체계도 개선하라고 주문했다.

주요 보안인력 역시 타 통신사와 비슷한 수준으로 보강해야 한다고 했다. 정보보호책임자(CISOㆍCPO)를 최고경영자(CEO) 직속 조직으로 강화해 전문화된 보안조직 체계를 구성하고 정보보호 강화에 필요한 예산 규모를 타 통신사와 대등한 수준 이상으로 확대하라고 요청했다. 한시적인 투자 확대가 아닌 장기 계획에 따른 보완 투자를 강조했다.

과기정통부에 따르면 지난해 통신사 정보보호 투자액(정보통신 투자액 대비 정보보호 비중, 정보보호 인력)은 KT가 1021억원(5.2%·336명), SK텔레콤(+SK브로드밴드)는 860억원(3.9%·305명)이었으나 LG유플러스는 292억원(3.7%·91명)에 그쳤다.

과기정통부 차원에서는 사이버 위협을 신속하게 대응하기 위해 올해 '사이버 위협 통합 탐지 시스템'을 통합 구축한다. 수사기관과 공조할 수 있는 '능동적 사이버 공격 추적체계'도 도입한다.

침해 사고 정황이 있는 사업자에게 자료 제출을 요구할 수 있도록 법령상 규정도 명확하게 바꾼다. 침해 사고가 일어났을 때 신고하지 않은 자는 과태료 최대 2000만원을 부과한다.

조치 방안을 의무 이행할 수 있는 규정 역시 신설한다. 권고 수준에서 '권고 또는 명령'으로 강화 방침이다.

이종호 과기정통부 장관은 "기간통신사업자는 침해사고가 국민 일상의 불편을 넘어 막대한 경제적 피해, 사회 전반의 마비 등을 야기할 수 있음을 엄중히 인식하고 사이버 위협 예방 및 대응에 충분한 투자와 노력을 다함으로써 국민들의 안전한 디지털 서비스 이용을 보장해야 할 책무가 있다"고 말했다.

이어 "정부도 날이 갈수록 다양해지고 확대되고 있는 지능적·조직적 사이버 위협에 대비하여 기존 정보보호 체계를 보다 실효성 높은 체계로 강화해 국민들과 기업이 신뢰하는 안전한 디지털 서비스 강국을 구축해나가겠다"고 밝혔다.

양진원 기자 newsmans12@mt.co.kr
<저작권자 ⓒ '성공을 꿈꾸는 사람들의 경제 뉴스' 머니S, 무단전재 및 재배포 금지>