과기부 “LG유플러스 개인정보 유출, 관리 소홀로 발생”

[마이데일리 = 구현주 기자] LG유플러스가 고객 DB(데이터베이스) 보안시스템 관리에 소홀해 약 30만명 개인정보 유출이 발생했다는 정부 조사 결과가 나왔다.

27일 과학기술정보통신부와 한국인터넷진흥원(KISA)은 ‘LG유플러스 침해사고 원인분석·조치방안’을 발표했다.

이종호 과기정통부 장관은 “조사·점검 결과 여러 가지 취약점이 확인됐으며 이에 대해 LG유플러스에 책임 있는 시정조치를 요구했다”고 말했다.

LG유플러스 고객정보 유출은 올해 초 미상 해커가 해킹포럼에 고객정보 판매글을 게시하면서 알려졌다. 과기정통부와 개인정보위는 LG유플러스와 함께 약 30만명 고객정보 유출을 확인했다.

조사 결과 당시 고객인증 DB 시스템은 웹 관리자 계정 암호가 시스템 초기암호로 설정돼 있었다. 또한 시스템에 웹취약점이 있어 해당 관리자 계정으로 악성코드를 설치할 수 있었다. 관리자 DB접근제어 등 인증체계가 미흡해 해커가 웹셸을 이용해 파일을 유출할 수 있었다.

고객정보 유출로 추가적으로 발생할 수 있는 2차 피해 가능성은 낮다. 이중, 불법로그인은 비밀번호가 암호화되어 있고, USIM 복제는 실제 USIM 개인키가 있어야 하기 때문이다.

지난 1월 29일, 2월 4일 디도스 공격으로 인한 LG유플러스 인터넷 접속 오류 원인도 밝혀졌다. 디도스 공격이란 많은 PC를 원격 조종해 특정 웹사이트에 동시에 접속시킴으로써 단시간 내에 과부하를 일으키는 행위다.

타 통신사는 라우터 정보 노출을 최소화하고 있으나, LG유플러스는 디도스 공격 전에 약 68개 이상 라우터가 외부에 노출돼 있었다. 라우터는 서로 다른 네트워크를 연결해주는 장치다.

LG유플러스 주요 라우터는 필수적인 통신 외에 신뢰할 수 없는 장비와도 통신이 가능한 상태로 운영됐으며, 보안조치가 미흡했다.

과기부는 LG유플러스에 △비정상 행위 탐지·차단 대응체계 부재(정보유출 관련) △네트워크 및 시스템 자산 보호·관리 미흡(디도스 공격 관련) △ 전문 보안인력 및 정보보호 투자 부족 △실효성 있는 보안인식 제고 방안 및 실천체계 부재를 시정할 것을 요구했다.

이에 관해 LG유플러스는 입장문을 발표하고 “과기부 원인 분석 결과에 따른 시정 요구사항을 전사적인 차원에서 최우선으로 수행할 예정”이라며 “진행상황은 단계별로 투명하게 공개하고 종합적 보안 대책은 추후 상세히 설명하는 시간을 가지겠다”고 말했다.

[황현식 LG유플러스 대표, 사진 = 구현주 기자] - ⓒ마이데일리(www.mydaily.co.kr). 무단전재&재배포 금지 -