가정용 공유기도 이렇진 않은데…LGU+ 데이터베이스 비번 ‘admin’

과기정통부 ‘LGU+ 침해사고 원인분석 결과 및 조치 방안’
“개인정보 빠져나갈 경로 전혀 없다”고 항변하더니…거짓말
인터넷 장애 부른 디도스 공격도 “라우터 정보 노출 탓”

홍진배 과학기술정보통신부 네트워크정책실장(가운데)이 27일 오전 서울 종로구 정부서울청사에서 엘지유플러스(LGU+) 개인정보 유출 및 인터넷 접속 장애 사고 원인과 조치 방안 등을 발표하고 있다. 연합뉴스

29만명 넘는 전·현 가입자 개인정보를 유출당한 사실이 올 초 해커(개인정보 불법 수집·판매자 행위자) 조직 폭로로 드러난 엘지유플러스(LGU+)의 개인정보 보호 데이터베이스 시스템 및 네트워크 보안 상태가 관리자 계정 비밀번호를 장비 출고 당시 기본 설정 상태 그대로 사용하고 해킹과 개인정보 탈취 등 비정상 행위를 실시간으로 감시·통제할 시스템조차 갖추지 않는 등 엉터리 수준으로 정부 조사 결과 밝혀졌다. 이 때문에 가입자 개인정보 유출 및 인터넷 접속 장애 사태가 잇따랐지만, 엘지유플러스는 거짓 해명으로 이를 축소·은폐해왔다. 개인정보 유출 및 인터넷 장애 피해자들의 책임 추궁과 보상 요구가 거셀 전망이다. 엘지유플러스 유·무선 가입자는 2천만명을 넘는다.

과학기술정보통신부는 27일 서울 종로구 정부서울청사에서 기자간담회를 열고, ‘엘지유플러스 침해사고 원인분석 결과 및 조치 방안’을 발표했다. 지난 1월 해커 조직의 폭로로 엘지유플러스 가입자 개인정보가 60만건 이상 유출된 것이 알려지면서, 과기정통부는 지난 1월11일 첫 현장조사에 나선 데 이어 민관합동조사단을 꾸려 원인 조사를 벌여왔다. 이어 1월29일과 2월4일 등 5차례에 걸쳐 디도스 공격에 따른 유선 네트워크 장애가 발생하면서, 정부는 기존 조사단을 특별조사점검단으로 개편해 조사·점검을 벌였다.

정부 조사 결과를 보면, 엘지유플러스는 고객 인증 데이터베이스에 접속 때 사용하는 관리자 계정 암호로 시스템 출고 당시 기본 설정돼 있던 ‘admin’을 그대로 사용하고 있었다. 아파트 현관문에 비유하면, 도어락 비밀번호로 기기 출고 때 설정돼 있던 ‘1234’ 내지 ‘0000’을 그대로 쓰고 있었다는 얘기다. 해커가 해당 관리자 계정으로 악성코드를 설치해, 전·현 가입자 29만7117명의 개인정보가 담긴 파일을 빼내간 것으로 정부는 추정했다.

홍진배 과기정통부 네트워크실장은 “엘지유플러스가 지난 1월2일 해커에게 비트코인을 건네고 확보한 데이터베이스 형태 텍스트파일 속 개인정보 6만건과, 그 뒤 추가로 확보한 이미지 형태 데이터를 가입자 정보가 가장 많이 담긴 데이터베이스들과 대조한 것으로, 유출 규모가 더 확대될 가능성도 배제하기 어렵다”고 설명했다.

앞서 해커 조직이 ‘고객 개인정보 3천만건을 갖고 있다’고 주장하고 나설 당시, 엘지유플러스는 “내부에서 모든 경로를 점검한 결과 개인정보가 빠져나갔을 만한 경로가 없다”고 해명했다. 당시 엘지유플러스 관계자는 <한겨레>에 “(개인정보를 갖고 있다고 주장하는 이들은) 서버를 해킹해서 정보를 빼간 게 아니라 과거 유출됐던 고객 정보를 모아다가 불법으로 판매하는 듯 하다”고 설명하기도 했다.

엘지유플러스가 이처럼 ‘거짓 해명’을 반복한 것은, 가입자 개인정보 유출 사실을 5년이 지나서야 파악했기 때문이었다. 정부 조사에 따르면, 엘지유플러스는 고객 개인정보 등이 포함된 대용량 데이터가 바깥으로 빠져나갔거나 나갈 위험을 실시간으로 감시·통제하기 위한 자동화 시스템을 갖추지 않고 있었다. 이에 고객 개인정보 유출 시점이 2018년 6월께로 추정됨에도, 해커들이 폭로하고 나선 올 1월에야 유출 사실을 인지했다는 설명이다.

올 1월 말과 2월 초 발생한, 디도스(Ddos·서비스 거부) 공격으로 인한 유선 인터넷 접속 장애 역시 보안시스템 소홀 탓으로 드러났다. 정부 조사 결과를 보면, 공격자는 1월29일과 2월4일 모두 5차례에 걸쳐 엘지유플러스 광역데이터망의 주요 라우터(서로 다른 네트워크를 연결해주는 장치) 장비를 대상으로 공격을 시도해 과부하를 유발했다. 에스케이텔레콤(SKT)·케이티(KT) 등 다른 통신사들은 라우터 정보의 외부 노출을 최소화한 반면, 엘지유플러스는 300여개 라우터 가운데 68개 이상의 정보를 외부에 노출된 상태로 운영하고 있었던 사실이 정부 조사에서 드러났다. 이에 공격자가 포트 스캔을 통해 엘지유플러스 라우터를 특정해 공격을 할 수 있었다는 설명이다.

또한 다른 통신사들이 신뢰할 수 있는 라우터끼리의 통신만을 허용하는 것과 달리, 엘지유플러스는 신뢰가 어려운 장비와의 통신도 가능한 상태로 운영하는 바람에 비정상 패킷(데이터 송수신 단위) 수신이 가능했던 것으로 밝혀졌다. 엘지유플러스는 광역데이터망에 라우터 보호를 위한 보안장비(IPS)조차 설치하지 않아, 내부 인입 패킷의 비정상 여부 검증과 이에 따른 트래픽 제어를 하지 못했다.

과기정통부는 비슷한 사고의 재발 방지를 위해, 엘지유플러스에 현재 메일 시스템에만 적용한 인공지능 기반 모니터링 체계를 고객 개인정보 처리 시스템에도 적용하도록 요구했다고 밝혔다. 또 분기별로 1회 이상 모든 정보기술(IT) 자산의 보안 취약점을 점검해 없애고, 침해사고 예방·대응·분석에 필요한 정보기술 자산 통합관리시스템을 도입할 것을 주문했다.

갈수록 다양해지는 사이버 위협에 선제적·체계적으로 대응하기 위한 예방·대응 체계 개편과 제도 개선도 추진한다. 과기정통부는 지금은 개별적인 사이버 위협에 대응하도록 설계된 탐지 시스템을 ‘사이버위협 통합 탐지 시스템’으로 고도화하겠다고 밝혔다. 또 기업들이 침해 사고를 당하지 않았다고 주장하거나 침해 자체를 인지하지 못한 경우에도 정부가 관련 자료 제출을 요구할 수 있도록 법적 근거를 만들 예정이다.

이종호 과기정통부 장관은 “엘지유플러스 같은 기간통신사업자에서 침해 사고가 발생하면 국민들의 일상이 불편해지는 걸 넘어 막대한 경제적 피해와 사회 전반의 마비가 불가피하다”며 “기간통신사업자들이 이 점을 엄중히 인식해 사이버 위협 예방과 대응에 충분히 투자하고 노력해야 한다”고 말했다.

엘지유플러스는 과기정통부 조사 결과 발표 뒤 입장문을 내어 “사고 발생 시점부터 사안을 심각하게 받아들이고 있다. 사이버 공격에 대비한 자산 보호 등 과제를 수행하기 위해 지난 2월 대표이사 직속으로 사이버안전혁신추진단을 꾸렸고, 1000억원 규모의 투자도 진행하고 있다. 뼈를 깎는 성찰로 보안·품질 면에서 가장 뛰어난 회사로 거듭나겠다”고 밝혔다.

정인선 기자 ren@hani.co.kr 임지선 기자 sun21@hani.co.kr