[팩플] 초기 비번 그대로 쓴 LG유플…정부, 해킹 원인 발표

권유진 2023. 4. 27. 18:28
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

서울의 한 LG유플러스 지점. 연합뉴스


올해 초 LG유플러스에서 발생한 고객정보 해킹 및 유출 사고, 디도스(분산서비스거부공격, DDoS) 공격 피해는 부실한 보안 시스템 때문이라는 조사 결과가 나왔다. 사이버 위협이 커지는 가운데 유·무선 통합 2000만명 이상의 고객 정보를 관리하는 국내 3대 통신사에서 구조적인 보안 문제가 드러난 것에 대한 우려가 나온다.


무슨일이야


과학기술정보통신부와 한국인터넷진흥원(KISA)은 27일 오전 서울 종로구 정부서울청사에서 브리핑을 열고 “LG유플러스의 고객 정보 유출 사건은 취약한 고객 인증 데이터베이스(DB) 시스템이, 디도스 공격 사건은 미비한 네트워크 장비 보안이 주된 원인인 것으로 드러났다”고 밝혔다. 지난 1월부터 LG유플러스에서 침해 사고가 잇달아 발생하자 과기정통부와 KISA가 특별조사점검단을 꾸려 3개월 간 조사한 결과다. 유출된 고객의 규모는 29만7117명으로 확인됐다. 과기정통부는 유출 데이터의 마지막 업데이트가 2018년 6월 15일 03시 58분인 점에 비춰볼 때 유출 시점도 비슷할 것이라고 추정했다.

정확한 시점을 특정할 수 없는 이유는 시스템 로그(기록)가 남아있지 않기 때문이라고 점검단 측은 설명했다. 시스템 로그 보존 기간이 2년이라 유출이 일어났을 시점의 기록이 현재 사라졌다는 것. 따라서 누가 해킹해 어떻게 정보가 유출됐는지도 특정하지 못했다. 홍진배 과기정통부 네트워크정책실장은 “(2018년) 당시 외부 기관이 작성한 LG유플러스의 취약점 분석 보고서를 토대로 16개 시나리오를 분석했고, 근거를 종합해서 유출 가능성이 가장 큰 쪽으로 결론을 내렸다”고 말했다.

LG유플러스 정보 유출·접속 장애 사고 관련 조치방안 발표 (서울=연합뉴스) 박동주 기자 = 27일 오전 정부서울청사에서 홍진배 과학기술정보통신부 네트워크정책실장이 LG유플러스 정보 유출·접속 장애 사고 원인과 조치방안 등을 발표하고 있다. 2023.4.27 pdj6635@yna.co.kr (끝) 〈저작권자(c) 연합뉴스, 무단 전재-재배포 금지〉


어떻게 된 일이야


① 너무 쉬운, 관리계정 암호 ‘admin’
과기정통부의 설명을 종합하면, 고객정보 유출은 고객인증 데이터베이스(DB) 시스템에서 시작된 것으로 보인다. 특히 2018년 6월 이후 LG유플러스는 고객인증 DB 접속시 입력하는 관리자 계정 암호를 시스템 출고시 기본 설정값(‘admin’)으로 계속 썼던 것으로 드러났다. 쉽게 말해 ‘0000’이나 ‘1234’ 같은 단순한 암호를 그대로 사용했던 것. 해커는 여기서 취약점을 발견하고 관리자 페이지에 접속하는 데 성공, 악성코드(웹셸)를 설치할 수 있었다. 이를 통해 DB에 접근해 고객 정보를 빼낸 것으로 정부는 추정했다.
그래픽=김경진 기자 capkim@joongang.co.kr

② 노출된 라우터, 실시간 감시 시스템도 부재

디도스 공격은 라우터와 같은 네트워크 장비에 대한 보안이 취약한 탓으로 드러났다. 과기정통부는 LG유플러스는 다른 통신사들과 달리 라우터를 외부에 노출했기 때문으로 분석했다. 약 68개 이상의 라우터가 외부에 노출, 공격자가 스캔을 통해 이를 인지하고 공격을 감행했다는 설명이다. 다른 통신사들이 신뢰할 수 있는 라우터끼리의 통신만을 허용하는 것과 달리, LG유플러스는 신뢰가 어려운 장비와의 통신도 가능하게 설정돼 있었다. 그 결과 공격에 취약해졌고, 라우터 장비에 다량의 비정상 패킷(데이터 송수신 단위)이 유입된 것. 최광희 KISA 본부장은 “라우터는 네트워크를 담당하는 주요 기기로 외부에서 식별할 수 없도록 관리해야 한다”고 말했다.

고객정보 등이 포함된 대용량 데이터가 외부로 유출되고 있다는 것을 실시간 감지하고 통제할 자동화 시스템도 없었다. 홍진배 실장은 “네트워크 내ㆍ외부 대용량 데이터 이동 등 이상 징후를 탐지하고 차단할 수 있는 실시간 감시체계가 부재했다”며 “시스템별 로그 저장 기준과 보관기간도 불규칙했다”고 했다.


왜 중요해


사이버 위협이 현실화 되는 상황에서 기간통신사업자이자 3위 통신사의 낮은 보안 수준이 확인됐다. LG유플러스의 이동통신 가입자 수는 1612만 명(2월 기준)이다. 해지 고객과 기타 통신 서비스 고객까지 더하면 더 늘어난다. 점검단은 이번 조사 결과에서 “스미싱, U심 해킹 등의 2차 피해 우려는 크지 않다”고 했지만 고객들의 불안은 쉽게 가라앉지 않을 수 있다. 과기정통부도 조사결과를 통해 “LG유플러스는 모의훈련만 하고, 실전형 침투 훈련이 부족했다"고 지적했다.

앞으로는


개인정보보호위원회의 조사가 진행 중이다. 개보위는 LG유플러스가 개인정보보호법을 위반했는지 보고 있다. 고의로 늑장 고지 했다는 사실이 드러나면 과징금 규모가 커질 가능성도 있다.

과기정통부는 사이버 위기 예방ㆍ대응 체계를 개편하고 관련 제도 개선을 추진할 예정이다. 국내 기업을 노리는 해커 조직을 선별 추적해 사이버 공격이 발생하기 전에 수사기관과 공조를 통해 대응할 계획이다. 또 침해사고 사실을 알리지 않는 사업자에 대한 과태료 부과 상한선을 기존 1000만원에서 2000만원으로 올리는 법 개정도 추진한다.

한편 LG유플러스는 이날 “과기정통부의 원인 분석 결과에 따른 시정 요구사항을 전사적인 차원에서 최우선으로 수행하겠다”고 입장문을 냈다. 이 회사는 지난 2월 CEO 직속으로 사이버안전혁신추진단을 구성해 보안 수준을 높이는 데 1000억원 규모 대규모 투자를 하겠다고 밝혔다. LG유플러스는 고객들에 대한 세부 피해 보상 방안을 28일 공개할 예정이다.

지금 뜨는 기업ㆍ기술 궁금하세요? 요즘 핫한 테크 소식을 입체적으로 뜯어보는 ‘기사 +α’를 만나보세요.
👉https://www.joongang.co.kr/factpl

권유진 기자 kwen.yujin@joongang.co.kr

Copyright © 중앙일보. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?