LG유플러스 개인정보 유출과 디도스 사건의 원인으로 정보보호 인력·투자 부진이 지목됐다.
과학기술정보통신부(과기정통부)와 한국인터넷진흥원(KISA)은 27일 오전 LG유플러스의 사이버 침해사고 원인 분석 및 조치방안을 발표했다.
지난 1월 LG유플러스를 대상으로 한 연이은 사이버 공격으로 고객정보 유출과 유선인터넷 장애 등이 발생했다. 개인정보 유출로 인한 2차 피해 우려와 인터넷 서비스 중단에 따른 일상생활 지장 등의 피해가 나타났다. 과기정통부와 KISA는 특별조사점검단을 꾸려 원인 분석 등 조사·점검에 나섰다.
조사에 따르면 LG유플러스 고객정보 유출 피해자는 총 29만7117명이다. 지난 1월1일 미상의 해커가 해킹 포럼에 LG유플러스 고객정보 2000만건을 판매한다는 글을 게시했다. LG유플러스가 해커로부터 확보한 유출데이터 60만건을 전체 회원 DB와 비교한 결과 실제 고객 정보가 맞음을 확인했다. 유출데이터 60만건은 DB 형태의 텍스트파일로 휴대전화번호, 성명, 주소, 생년월일, 암호화된 주민번호, 모델명, 이메일, 암호화된 비밀번호, USIM 고유 번호 등이 있었다. 해커로부터 추가 확보한 이미지데이터에서 기존 60만건에 포함되지 않은 새로운 고객 정보 1039명을 확인했다. 유출 규모가 확대될 가능성도 배제하기 어렵다.
유출 데이터는 고객 인증 DB에서 빠져나간 것으로 추정된다. LG유플러스에서 가장 많은 고객 정보를 저장·처리하는 시스템은 전체 회원 DB, 부가서비스 인증 기능을 수행하는 고객인증 DB, 회원 탈퇴 시 향후 소비자 분쟁을 고려해 고객 정보를 별도 보관하는 해지고객 DB 등이다. 과기정통부와 KISA는 유출 데이터의 내용이 3개 시스템과 연관된 것으로 보고 조사를 진행했다. 이중 유출 내용은 고객 인증 DB와 가장 일치했다. 유출 시점은 관련 시스템의 데이터로그가 남아있지 않아 특정이 어려우나 마지막 업데이트는 2018년 6월15일 오전 3시58분이다. 해당 시점 직후 유출 파일이 생성된 것으로 보고 있다.
유출 경로는 당시 시스템 로그 정보가 거의 남아 있지 않아 파악에 어려움을 겪었다. 시스템 접속기록 의무 보존 관리 기간은 2년이다. 고객 정보가 유출될 수 있는 침해 사고 시나리오 16개를 마련, 검증을 진행했다. 이 과정에서 당시 고객인증 DB 시스템 취약점을 확인했다. △웹 관리가 계정 암호가 시스템 초기 암호로 설정된 점 △해당 관리자 계정으로 악성 코드를 설치할 수 있던 점 △관리자의 DB접근 제어 등 인증체계가 미흡한 점 등이다.
정보 유출로 인한 추가 피해 가능성은 스미싱과 이메일피싱, 불법로그인, 유심 복제 등이다. 다만 불법로그인은 비밀번호가 암호화돼 있고 USIM 복제 또한 실제 USIM 개인키가 있어야 하므로 피해 발생 가능성은 낮다.
함께 조사·검증된 디도스 공격은 1월28일과 2월4일에 총 5회에 걸쳐 발생했다. LG유플러스의 유선인터넷, VOD, 070전화서비스 장애가 발생했다. 조사에 따르면 공격자는 네트워크를 구성하는 통신사의 라우터 장비를 대상으로 공격을 시도했다. 라우터 장비에 비정상적 패킷이 유입, CUP 이용률이 대폭 상승한 것으로 분석됐다.
당시 LG유플러스는 라우터를 이용한 디도스 공격에 취약했다. 타 통신사는 라우터 정보 노출을 최소화하고 있으나 LG유플러스는 68개 이상 라우터가 외부에 노출돼 있었다. 또한 주요 라우터는 라우터 간 경로정보 갱신에 필수적인 통신 외에 신뢰할 수 없는 장비와도 통신 가능한 상태로 운영, 비정상적 패킷 수신이 가능했다. 라우터 보호를 위한 보안장비도 설치되지 않았다.
특별조사점검단은 조사된 문제점을 토대로 LG유플러스에 시정조치를 요구했다. 공통 원인으로는 정보보호 인력 및 조직 부족, 상대적으로 저조한 정보보호 투자 등이 지목됐다. 타 통신사와 대등한 수준으로 보안인력 및 예산 보강할 것이 요구됐다. 지난해 통신사 정보보호 투자액을 살펴보면 KT 1021억원, SKT 860억원, LG유플러스 292억원 순이다.
이와 함께 △AI 기반 모니터링 체계를 고객정보처리시스템까지 대상을 확대해 사이버 위험에 실시간 대응 △로그 정책과 중앙로그관리시스템 수립 △분기별로 1회 이상 모든 IT자산에 대한 취약점 점검 △IT자산 통합관리시스템 도입 △정보보호 책임자를 CEO 직속 조직으로 강화 △보안교육 및 실무 반영 보안매뉴얼 개발 등이다.
과기정통부와 KISA도 사이버 위기 예방 대응 체계 개편 및 제도 개선에 나선다. 이들은 “사이버침해대응센터의 침해사고 탐지 및 분석 대응체계를 고도화하겠다”며 “사이버위협을 조기에 대응할 수 있는 체계를 마련하겠다”고 밝혔다. 법 제도 개선도 추진된다. 침해사고 정황 및 징후가 명확한 사업자에게 관련 자료의 제출을 요구할 수 있는 근거를 두도록 한다. 이전에는 사고를 인지하지 못하거나 사업자가 침해를 당하지 않았다고 할 경우 자료 제출이 어려웠다. 이와 함께 침해사고 조치방안 의무 이행·점검 규정 신설, 권고 규정을 ‘권고 또는 명령’으로 개정하는 작업도 추진된다.
이종호 과기정통부 장관은 “기간통신사업자인 LG유플러스에 대한 조사·점검 결과 여러 가지 취약점이 확인됐으며 이에 대해서는 LG유플러스에 책임 있는 시정조치를 요구했다”며 “정부도 날이 갈수록 다양해지고 확대되고 있는 지능적·조직적 사이버 위협에 대비하여 기존 정보보호 체계를 보다 실효성 높은 체계로 강화하여 국민들과 기업이 신뢰하는 안전한 디지털 서비스 강국을 구축해 나가겠다”고 강조했다.
이소연 기자 soyeon@kukinews.com