관리자 암호가 '관리자'? LG유플, 30만명 개인정보 어쩌나 [이명지의 IT뷰어]

타사에 비해 정보보호 투자 떨어져... CEO 직속 조직 등 부랴부랴 대책 내놓은 LG유플러스

[이명지의 IT뷰어]

서울 용산구 LG유플러스 본사 로비로 직원들이 출입하고 있다. (사진=LG유플러스)

올 초 LG유플러스는 개인정보 유출에 이어 디도스 공격으로 인터넷이 ‘먹통’이 되는 악재를 겪었습니다. 이 때문에 지난 2월 황현식 LG유플러스 대표가 직접 사과를 하기도 했는데요.

워낙 대규모의 사고였던 만큼 과학기술정보통신부와 한국인터넷진흥원은 2개월 간 대대적인 조사에 돌입해 사고 규명에 나섰습니다. 그리고 조사 결과를 27일 발표했습니다.   

과기정통부는 2개월간 진행한 조사에서 2018년 6월 생성된 29만7117명의 LG유플러스 고객 정보가 고객 인증 시스템에서 유출된 것을 확인했다고 밝혔습니다.

그러면서 고객정보 유출의 이유로는 LG유플러스의 고객 인증 시스템 취약(암호, DB접근제어 미흡), 대용량 데이터 이동 등 실시간 감시 체계가 없었다고 밝혔죠.

이번 과기정통부의 조사 결과는 다소 충격입니다. 개인 정보가 유출된 곳으로 추정되는 LG유플러스의 고객 인증 데이터 베이스(DB) 관리자 암호는 초기 상태 그대로였던 것으로 알려졌습니다. 관리자 암호가 ‘admin’ 이었다는 거죠. 이처럼 안일한 정보 관리로 인해 고객 정보 유출이 되는 것은 ‘시간 문제’ 였던 것으로 보입니다.

보안 장비 역시 미흡했습니다. 과기부에 따르면 디도스 공격에 따른 인터넷 접속 장애의 경우, 통신 연결 장치인 내부 라이터 장비가 외부로 노출돼 라우터 간 접근제어 정책이 미흡해 해커의 공격이 가능한 상태였다고 합니다. LG유플은 주요 네트워크 구간에 보안 장비를 설치하지 않았습니다. 

홍진배 과기정통부 실장은 “해커가 네트워크를 구성하는 LG유플의 라우터 장비를 대상으로 공격을 시도해 네트워크 장애를 유발했고, 라우터 장비에 다량의 비정상 패킷이 유입되면서 통신 장애가 발생했다”고 설명했습니다. 

상황이 이렇게 되자 조사 결과가 발표된 날, LG유플러스는 2월에 이어 재차 사과했습니다. 앞으로 어떻게 할지도 밝혔죠. 지난 2월에는 CEO 직속 사이버안전혁신추진단을 구성했죠. 이를 위한 1000억원 규모의 투자도 준비 중입니다. 또 사고 직후에는 개인정보 보호 및 디도스 방어를 위한 긴급 진단과 보안 장비 및 솔루션 도입, 클라우드를 활용한 서비스의 긴급 점검, 접근제어 정책 강화 등 즉시 개선이 가능한 부분을 조치 했다고 밝혔습니다. 

이 밖에 화이트해커 등 외부 전문가를 활용한 취약점 점검과 기술 예방활동 강화, AI 기반 개인정보 탐지 시스템 구축을 진행합니다. 외부 전문가 그룹으로 구성된 정보보호 자문위원회를 본격 가동하고, 회사 내 CISO, CPO 조직 개선과 전문 인력 투자도 시행합니다.

이처럼 다양한 대책을 내놨지만 이미 2018년부터 LG유플을 통해 유출된 개인정보는 30만명에 이르는 것으로 보입니다. ‘소 잃고 외양간 고친다’는 비판이 안 나올 수가 없는데요, 

최근 통신사들은 통신을 넘어 비통신 분야의 투자를 늘리고 있습니다. 정체된 통신 시장에서 벗어나 새로운 먹거리를 찾겠다는 의도죠. LG유플러스도 그러합니다. 

하지만 정작 기본이 되야 할 정보보호 투자가 타사 대비 현저히 떨어진다는 점에서 비판을 비하긴 어려울 것 같습니다. 과기부에 따르면 지난해 LG유플러스의 전체 정보통신 투자 대비 정보보액 투자액 비중은 3.7%로 KT 5.2%, SK텔레콤 3.9%보다 낮았습니다. 정보보호 인력 역시 KT 336명, SK텔레콤이 305명인 것에 비해 훨씬 적은 91명으로 나타났습니다. 

이명지 기자 mjlee@hankyung.com