LGU+ 30만 개인정보 유출 원인은 ‘고객인증 DB’ 관리 부실

정부, 원인분석·조치방안 발표

2018년 6월15일 업데이트 후 유출
원격 공격 명령 ‘웹셸’로 탈취 추정
LG유플러스, 피해 보상 기준 논의

올해 초 발생한 LG유플러스 해킹사건에 대한 정부 조사 결과 2018년 6월 무렵 ‘고객인증 데이터베이스(DB)’에서 29만7117명의 고객 개인정보가 유출된 것으로 나타났다.

과학기술정보통신부와 한국인터넷진흥원(KISA)은 27일 정부서울청사에서 ‘LG유플러스 사이버 침해사고 원인분석 및 조치방안’을 발표했다.

조사결과에 따르면 LG유플러스가 해커로부터 확보한 데이터 60만건은 DB 형태의 텍스트 파일로 26개 칼럼으로 구성돼 있다.

칼럼은 휴대전화번호, 성명, 주소, 생년월일, 주민등록번호, 모델명, e메일, 비밀번호, 가입자식별장치(USIM) 고유번호 등으로 이 가운데 교환기주소, 서비스명 칼럼에서 LG유플러스 고객정보로 판단할 수 있는 데이터가 발견됐다.

정부는 부가서비스 인증 기능을 수행하는 ‘고객인증 DB’에서 정보가 유출됐다고 밝혔다. 피해 인원은 29만7117명에 달한다. LG유플러스가 확보한 개인정보 60만건 가운데 동일인 중복 데이터를 제거해 29만6477명의 정보를 확인했다.

정부는 파일 유출 시점은 마지막 업데이트가 이뤄진 2018년 6월15일 오전 3시58분 직후로 보인다고 밝혔다. 해커가 원격으로 공격 대상 웹서버에 명령을 실행하는 형태의 웹셸 방식을 이용해 개인정보를 탈취했을 것으로 추정했다.

LG유플러스 서비스 장애를 일으킨 분산서비스거부(DDos·디도스) 공격은 서로 다른 네트워크를 연결하는 장비인 라우터에 과부하를 유발하는 수법이 활용됐다. 디도스 공격 당시 LG유플러스는 68개 이상의 라우터 정보가 외부에 노출돼 있었다.

LG유플러스는 현재 e메일 시스템에만 적용돼 있는 인공지능(AI) 기반 모니터링 체계를 고객정보처리시스템까지 확대할 계획이다. 또 정보보호책임자(CISO·CPO)를 최고경영자(CEO) 직속으로 두는 한편 예산과 인력 규모를 경쟁사와 대등한 수준 이상으로 늘린다. 해킹과 디도스 공격으로 피해를 본 고객들을 대상으로 조만간 보상 원칙과 기준도 발표하기로 했다.

구교형 기자 wassup01@kyunghyang.com