허술한 고객DB가 정보유출로… LG유플 "즉시 시정"

김나인 2023. 4. 27. 15:50
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
정부, 원인분석·조치방안 발표
정보 유출자 1039명 추가 확인
과기부 "2차 피해 가능성 낮다"
전문가 "안이한 의식 개선해야"

홍진배 과기정통부 네트워크정책실장이 27일 정부서울청사에서 브리핑을 진행하고 있다. 김나인 기자

홍진배 과기정통부 네트워크정책실장이 27일 정부서울청사에서 브리핑을 진행하고 있다. 김나인 기자

정부가 올초 발생한 LG유플러스의 고객정보 유출 피해 규모를 29만7117명으로 잠정 확정했다. 개인정보 유출과 인터넷 접속 장애는 '고객인증DB(데이터베이스)'의 취약점과 내부 라우터 장비 외부 유출 등 시스템 취약점을 노려 외부 공격이 가해진 결과로 분석됐다. 정부는 실시간 감시체계 부재와 자산 보호·관리 미흡, 전문 보안 인력과 정보보호 투자 부족을 원인으로 꼽고 대응 체계 개편과 제도 개선을 추진한다.

27일 과학기술정보통신부와 KISA(한국인터넷진흥원)는 정부서울청사에서 'LG유플러스 침해사고 원인분석 결과 및 조치방안'을 발표했다. 기존 발표에서 추가로 1039명의 정보를 새로 파악했지만, 이 중 399명의 정보는 DB에서 정확하게 확인되지 않았다.

과기정통부는 LG유플러스에서 2018년 6월께 생성된 개인정보가 고객인증 DB를 통해 유출된 것으로 추정했다. 유출 경로가 파악되지 않았지만, 당시 고객인증DB에서 웹 관리자 계정 암호가 시스템 초기 암호로 쓰이는 'admin(관리자)'으로 설정돼 있었고 관리자 계정으로 악성코드(웹셸)를 설치할 수 있게 돼 있었던 것으로 확인됐다.

홍진배 과기정통부 네트워크정책실장은 "시스템 로그 보존 기간이 2년이라 5년 전 상황에 대한 조사에 한계가 있다 보니 취약점 분석 결과보고서를 근거로 취약점을 확인했다"며 "해커가 고객 데이터를 더 가지고 있다고 단정하기 어렵지만 유출 규모가 더 클 가능성도 배제할 수 없다"고 말했다.

유출 데이터를 악용한 2차 피해 가능성은 낮은 것으로 분석된다. 불법 로그인의 경우 비밀번호가 암호화돼 있고, USIM(유심) 복제는 실제 유심 개인키가 있어야 하기 때문이다. 과기정통부 관계자는 "현재까지 2차 피해 사례는 없는 것으로 확인됐다"고 했다.

지난 1월 29일, 2월 4일 5회에 걸쳐 총 120분 간 LG유플러스의 유선인터넷, VOD(주문형비디오), 070전화 서비스 장애 원인은 라우터 장비를 활용한 디도스 공격인 것으로 확인됐다. 라우터는 네트워크의 중요 기기라 외부 노출을 피해야 하는데 LG유플러스의 일부 라우터 장비에 장비 과부화를 유발하는 '자원 소진 공격'이 있었던 것으로 나타났다. 디도스 공격 전 LG유플러스의 라우터 68개 이상이 외부에 노출된 것으로 나타났다. 공격자가 포트 스캔을 통해 LG유플러스의 라우터를 특정하고 노출 포트에 공격을 감행한 것으로 파악됐다. 광대역데이터망에 라우터 보호를 위한 IPS(침입방지시스템)가 설치되지 않은 것도 시스템 장애 이유로 꼽혔다.

과기정통부는 정보보호 분야 투자가 미흡했다고 봤다. 지난해 LG유플러스의 정보보호 투자액은 292억원, 정보보호 인력은 91명으로 SK텔레콤, KT의 3분의 1 수준에 그쳤다. 특히 IT와 정보보호 관련 조직이 분산돼 유기적 대응이 어려웠고, 실전형 침투훈련과 실무형 업무매뉴얼도 부재한 것으로 조사됐다.

과기정통부는 LG유플러스에 정보보호 및 보안조직 체계를 타 통신사와 대등한 수준으로 보강하도록 시정조치를 내리고, '사이버위협통합탐지시스템'을 통합 구축하도록 제도 개선에 나선다. 침해사고 발생 시 정황이 명확하면 사업자에 자료 제출요구를 할 수 있도록 법령상 규정을 손질한다. 침해사고를 신고하지 않을 경우 부과하는 과태료는 기존 1000만원에서 2000만원 수준으로 높인다. 침해사고 조치방안도 의무적으로 이행하도록 기존 권고에서 수위를 높인다. LG유플러스는 이날 재차 사과문을 내고 "정부의 원인분석 결과에 따른 시정 요구사항을 전사 차원에서 최우선으로 수행할 예정"이라고 밝혔다. 보상 대책은 조만간 발표할 예정이다.

전문가들은 기업들의 안이한 보안 의식 개선과 정보보호 분야 투자 확대가 필요하다고 지적한다. 고객 피해에 대한 강한 처벌도 주문한다. 김승주 고려대 정보보호대학원 교수는 "글로벌 빅테크들도 모든 사이버공격을 막진 못한다. 하지만 이미 알려진 취약점에 대한 조치를 하지 않아 고객 피해를 유발하는 경우는 크게 처벌받아야 할 것"이라며 "미국의 경우 보안사고가 터지면 해당 기업이 이를 방지하고자 최선을 다했는지, 기업 규모나 수익, 고객 수에 상응하는 노력을 해왔는지를 엄격히 따진다. 우리 기업들도 단순히 인력과 비용을 늘리는 수준을 넘어 이런 인식과 판단을 바탕으로 정보보호에 투자할 필요가 있다"고 짚었다.

김나인·팽동현기자 silkni@dt.co.kr

Copyright © 디지털타임스. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
디지털타임스에서 직접 확인하세요. 해당 언론사로 이동합니다.