“LGU+ 정보유출·통신장애 ‘인재’…시스템·투자·인력 ‘미흡’”

과기정통부, ‘LGU+ 침해사고 원인분석 및 조치방안’ 발표 고객 정보 유출, 30만명…시스템 취약 원인 디도스 공격, 라우터 관리 소홀…보안장비 미설치 LGU+ 정보보호 투자, 경쟁사 대비 3분의 1 LGU+, “과기정통부 권고 전사 차원 최우선 수행”

2024-04-27     윤상호 기자
최근 벌어진 LG유플러스 고객정보 유출과 통신장애는 ‘인재’라는 결론이 나왔다. 정부 조사 결과 LG유플러스의 보안 체계가 미진했던 것으로 파악됐다. 관련 투자도 SK텔레콤이나 KT에 비해 부족했다. 2022년 기준 LG유플러스 정보보호 투자와 인력은 SK텔레콤 KT 대비 3분의 1 수준이다. 27일 과학기술정보통신부와 한국인터넷진흥원(KISA)은 ‘LG유플러스 침해사고 원인분석 및 조치방안’을 발표했다. LG유플러스는 지난 1월과 2월 고객정보 유출 및 통신 장애 등을 겪었다. LG유플러스 고객정보 유출은 지난 1월1일 해커가 해킹포럼에 LG유플러스 고객정보 판매글을 올리며 수면 위로 올라왔다. 정부와 LG유플러스는 2월3일 약 30만명의 고객정보가 빠져나간 것으로 확인했다. 통신 장애는 1월29일과 2월4일에 각각 3회(총 63분)와 2회(총 57분) 총 5회 발생했다. 분산서비스 거부(DDoS, 디도스) 공격으로 ▲유선인터넷 ▲주문형비디오(VOD) ▲070전화서비스 등이 차질을 빚었다. 과기정통부와 KISA는 지난 1월부터 두 사건에 대해 현장조사 등을 실시했다. 이 결과 ▲비정상 행위 탐지 및 차단 대응체계 부재 ▲네트워크 및 시스템 자산 보호 및 관리 미흡 ▲전문 보안인력 및 정보보호 투자 부족 ▲실효성 있는 보안인식 제고 방안 및 실천체계 부재 등의 문제를 찾아냈다. 정보 유출은 LG유플러스 ▲전체회원 데이터베이스(DB) ▲고객인증 DB ▲해지고객 DB 중 고객인증 DB가 뚫렸다. 현재 확인한 규모는 29만7117명이다. 홍진배 과기정통부 네트워크정책실장은 “해커가 공개한 이미지 파일 등까지 분석한 결과 유출 규모가 더 확대할 가능성이 있다”라며 “유출 시점은 관련 시스템 로그가 남아있지 않아 특정하기 어려우나 유출 데이터는 2018년 6월15일 03시58분 이후 파일을 생성한 것으로 보인다”라고 설명했다. 2018년 6월 기준 LG유플러스 고객인증 DB는 ▲웹 관리자 계정 암호 시스템 초기암호로 설정 ▲시스템 웹 취약점 존재 악성코드 설치 가능 ▲관리자 DB접근제어 등 인증체계 미흡 등의 문제점이 존재했다. 홍 실장은 “공격자가 정찰을 통해 고객인증 시스템 관리자 계정이 굉장히 취약하다는 것을 확인하고 고객 정보를 빼내는 과정을 거쳤을 것으로 보고 있다”라며 “2차 피해는 가입자식별모델(USIM, 유심) 복제는 가능이 낮다고 판단하고 있고 피싱과 스미싱은 악용될 수 있어 관계기관 등과 모니터링을 집중적으로 진행하고 있다”라고 강조했다. 또 “LG유플러스도 취약점을 개선했지만 탐지 시스템 등이 없어서 LG유플러스 시스템에서 나간 것을 인지하지 못한 것으로 파악했다”라며 “고객 통지 미흡과 개인정보 부실 관리 등은 개인정보보호위원회 등에서 개인정보보호법 등 관계 법령에 의거해 처벌 여부를 조사 중”이라고 덧붙였다.
디도스 공격은 주로 라우터를 대상으로 이뤄졌다. 1차 공격은 해외 및 국내 타 통신사와 연동 구간 게이트웨이 3대와 라우터 11대를 타깃으로 했다. 2차 공격은 내부가입자망 징부 지역 엣지 라우터 약 320대를 노렸다. 최광희 KISA 사이버침해대응본부장은 “라우터는 중요 네트워크 장비라 정보 노출을 하지 않아야 하지만 LG유플러스는 1월 기준 약 68개 이상 라우터 인터넷주소(IP)와 포트 정보 등이 해커가 식별할 수 있는 정도로 노출돼 있었다”라고 평가했다. LG유플러스는 광대역 데이터망에 라우터 보호를 위한 보안장비(IPS)도 없었다. 이 때문에 내부적으로 비정상 패킷 검증과 트래픽 제어 등이 불가능했다. 2022년 기준 통신사 정보보호 투자액과 인력은 ▲KT 1021억원 336명 ▲SK텔레콤 및 SK브로드밴드 860억원 305명 ▲LG유플러스 292억원 91명 순이다. 과기정통부는 LG유플러스에 대해 ▲인공지능(AI) 기반 모니터링 체계 고객정보처리시스템까지 확대 ▲로그 정책과 중앙 로그 관리시스템 수립·구축 ▲분기별 1회 이상 모든 정보기술(IT) 자산 보안 취약점 점검 ▲IT자산 통합관리시스템 도입 ▲정보보호 투자 확대 ▲맞춤형 모의훈련 연 2회 이상 수행 및 외부기관 모의 침투 훈련 참여 ▲보안 교육 연 2회 이상 실시 및 보안 매뉴얼 수립 등을 권고했다. LG유플러스는 “LG유플러스는 사고 발생 시점부터, 사안을 심각하게 받아들이고 있으며 과기정통부의 원인 분석 결과에 따른 시정 요구사항을 전사적인 차원에서 최우선으로 수행할 예정”이라며 “그동안 외부에서 준 다양한 염려와 의견을 충분히 반영하고 뼈를 깎는 성찰로 고객에게 더 깊은 신뢰를 주는 보안·품질에 있어 가장 강한 회사로 거듭나겠다”라고 사과했다. 한편 과기정통부는 사이버 위협 대응 체계 개편과 제도 개선을 병행한다. 기존 탐지 시스템을 ‘사이버위협통합탐지시스템’으로 통합 구축한다. 수사기관 등과 공조해 ‘능동적 사이버 공격 추적체계’를 도입한다. 아울러 자료 제출 요구에 대한 법령상 규정을 보다 명확히 할 계획이다. 침해사고를 신고하지 않은 자에 대한 과태료는 최대 2000만원으로 상향한다. 대책 권고는 ‘권고 또는 명령’으로 개정한다. ▲제로 트러스트 ▲공급망 보안 등이 자리 잡을 수 있도록 지원도 할 방침이다. 이종호 과기정통부 장관은 “기간통신사업자인 LG유플러스에 대한 조사·점검 결과 여러 가지 취약점이 확인됐으며 이에 대해서는 LG유플러스에 책임있는 시정조치를 요구했다”라며 “정부도 날이 갈수록 다양해지고 확대되고 있는 지능적·조직적 사이버 위협에 대비해 기존 정보보호 체계를 보다 실효성 높은 체계로 강화해 국민과 기업이 신뢰하는 안전한 디지털 서비스 강국을 구축해나가겠다”라고 말했다. 디일렉=윤상호 기자 crow@bestwatersport.com

《반도체·디스플레이·배터리·자동차전장·ICT부품 분야 전문미디어 디일렉》