‘30만명 정보 유출’ LGU+ 보안 조치 미흡… “전사적 차원 시정”

과기부, 보안 인력· 예산 확대 요구
초기 암호 쓰고 해킹 탐지장비 전무

연초 LG유플러스에서 일어난 잇단 분산서비스거부(DDoS·디도스) 공격과 고객 정보 유출, 접속 장애의 원인은 관리자 계정 암호가 시스템 초기에 설정된 ‘admin’이 그대로 사용되는 등 회사의 보안 관리·통제 정책이 미흡하고 관련 시스템·조직·투자가 부족했기 때문인 것으로 드러났다.

27일 과학기술정보통신부는 이 같은 내용의 조사 결과를 발표했다. LG유플러스는 고객에게 다시 한번 사과하고 정부의 지적을 전사적 차원으로 수용하겠다고 밝혔다.

발표에 따르면 LG유플러스에서 총 29만 7117명의 고객 정보(399명은 신원 확인 불가능)가 유출된 것으로 파악됐다.

특히 고객인증 데이터베이스(DB) 시스템의 관리자 계정 암호가 도입 뒤 따로 설정되지 않은 것으로 밝혀졌다. 해커 입장에선 비밀번호가 ‘1111’, ‘1234’ 같은 수준에 불과했던 셈이다.

과기정통부는 LG유플러스에 네트워크 구간마다 침입을 탐지·차단할 보안 장비가 없었고, 전사적인 정보기술(IT) 자원에 대한 통합 관리시스템도 존재하지 않았다고 봤다.

이에 LG유플러스가 정보보호 인력과 예산을 타사 수준까지 확대할 것과 최고경영자(CEO) 직속 정보보호 조직 구성, 맞춤형 모의훈련 및 각 분야 책임자(C레벨)를 포함해 보안 필수교육을 도입할 것을 요구했다.

LG유플러스는 “사고 발생 시점부터 사안을 심각하게 받아들이고 있으며, 과기정통부의 원인 분석 결과에 따른 시정 요구사항을 전사적 차원에서 최우선으로 수행할 예정”이라고 밝혔다. 회사는 지난 2월 CEO 직속 사이버안전혁신추진단을 구성해 보안 관련 4대 핵심 과제 아래 102개 세부 과제를 선정, 수행하고 있다. 이와 관련해 1000억원 규모의 투자도 진행하고 있다.

김민석 기자

▶ 밀리터리 인사이드 - 저작권자 ⓒ 서울신문사 -