LG유플러스의 개인정보 유출·인터넷 접속 장애 원인은 관리 소홀과 시스템 부재에서 비롯된 것이라는 정부의 조사 결과가 나왔다. 관리자 계정 암호를 초기 상태 그대로 사용하는가 하면 위험성을 실시간으로 감지하고 통제하는 시스템도 없어 피해를 키웠다는 지적이 나온다.
과학기술정보통신부(과기정통부)와 한국인터넷진흥원(KISA)은 27일 서울 종로구 정부서울청사에서 브리핑을 열고 올해 초 발생한 LG유플러스 개인정보 유출·인터넷 접속 장애에 대한 원인과 조치방안을 발표했다.
과기정통부는 LG유플러스 고객인증 시스템에서 개인 정보가 유출된 것으로 추정했다. 당시 고객인증 데이터베이스(DB) 시스템은 웹 관리자 계정 암호가 시스템 초기 암호로 설정돼 해당 관리자 계정으로 악성코드를 설치할 수 있었을 것이란 지적이다. 관리자의 DB 접근제어 등 인증체계도 미흡해 해커가 악성코드를 이용해 파일을 유출할 수 있었을 것이라고도 했다.
과기정통부 관계자는 "LG유플러스는 고객정보 등이 포함된 대용량 데이터가 외부로 유출될 때 이러한 비정상 행위의 위험성을 실시간으로 감시하고 통제할 수 있는 자동화 시스템이 없었던 것으로 조사됐다"며 "즉 네트워크 내·외부 대용량 데이터 이동 등 이상 징후를 탐지하고 차단할 수 있는 실시간 감시체계가 부재한 데다 시스템별 로그 저장 기준과 보관기간도 불규칙했다"고 진단했다.
과기정통부에 따르면 개인정보 데이터 유출 시점으로 추정되는 2018년 당시 해당 시스템과 DB 접속 등에 대한 로그 정보가 거의 남아 있지 않아 로그 분석을 통한 유출 경로를 파악하는 데는 한계가 있었다. 이에 과기정통부는 총 16개의 개인정보 유출 시나리오를 마련해 검증하는 식으로 유출 경로를 파악했다.
과기정통부는 이번 사고로 인해 총 29만7117명의 개인정보가 유출된 것으로 확인했다. 홍진배 과기정통부 네트워크정책실장은 "해커가 이미지 파일을 올리면서 '3000만건을 갖고 있다'고 주장하고 있는데 이미지 파일만으로 해커가 추가적인 고객 데이터를 갖고 있는지 단정하긴 어렵다"면서도 "유출 규모가 더욱 확대될 수 있는 가능성을 열어두고 예의주시하고 있다"고 말했다.
지난 1월29일과 2월4일 5회에 걸쳐 총 120분간 유선인터넷과 주문형비디오(VOD), 070전화 서비스 접속 장애를 일으킨 디도스 공격의 원인은 라우터 정보 외부 노출, 라우터 간 접근제어 정책 미흡, 라우터 보호를 위한 보안장비 미설치 등에서 비롯된 것으로 파악됐다.
홍 실장은 "통상적으로 라우터 정보는 굉장히 중요한 정보이기 때문에 외부 노출을 최소화하고 있지만 LG유플러스의 경우 68개 이상의 라우터가 외부에 노출돼 있었다"며 "공격자는 포토 스캔을 통해 LG유플러스의 라우터 정보가 뜨는 것을 보고 공격의 대상을 특정하기 용이했을 것으로 판단하고 있다"고 설명했다.
그러면서 "LG유플러스의 주요 라우터는 라우터 간 경로 정보 갱신에 필수적인 통신 외에 신뢰할 수 없는 장비와도 통신이 가능하도록 오픈된 상태로 개방이 돼 있어 비정상 패킷 수신도 가능했던 것으로 보인다"며 "일반적으로 접근 제어 정책을 통해 신뢰할 수 있는 라우터 간 통신만 허용하고 그 밖의 것은 통상적으로 통신 유형을 제한하지만 LG유플러스의 경우에는 이런 보안 조치가 미흡한 것으로 판단된다"고 덧붙였다.
이와 함께 네트워크 각 구간에 침입 탐지·차단 보안장비가 없고 전사 정보기술(IT) 자원에 대한 통합 관리시스템이 없는 것도 문제점으로 지목했다. 이에 과기정통부는 분기별로 1회 이상 모든 IT 자산에 대한 보안 취약점을 점검하고 제거할 것을 요구했다. 나아가 침해사고 예방·대응·분석 등에 활용할 수 있는 IT자산 통합관리시스템을 도입해 시스템 관리체계를 개선토록 했다.
또 전문 보안 인력과 정보보호에 대한 투자가 부족하다고 보고 투자 규모를 다른 통신사와 비슷한 수준으로 보강하고 정보보호책임자의 역할도 강화할 것을 주문했다. LG유플러스의 지난해 정보보호 투자액은 292억원으로 경쟁사(SK텔레콤 860억원, KT 1021억원)보다 적었다. 정보보호 인력 역시 SK텔레콤 305명, KT 336명보다 적은 91명이었다.
사이버 위협 기반의 공격 시나리오를 개발하고 이에 맞는 맞춤형 모의훈련을 연 2회 이상 수행하는 등 평소 사이버위협 대응능력을 높이라고도 했다. C레벨을 포함한 임직원 대상으로 보안 교육을 실시하고 실무를 반영한 보안매뉴얼을 개발·관리할 것도 요구했다.
한편 LG유플러스는 이날 과기정통부 발표에 따른 입장문을 내고 "사고 발생 시점부터 사안을 심각하게 받아들이고 있으며 과기정통부의 시정 요구사항을 전사적인 차원에서 최우선으로 수행할 예정"이라며 "뼈를 깎는 성찰로 고객들에게 더 깊은 신뢰를 주는, 보안·품질에 있어 가장 강한 회사로 거듭나겠다"고 했다.
