[딜사이트 최지웅 기자] LG유플러스가 올해 초 발생한 사이버 침해 사고로 29만7117명의 고객 정보를 해커조직에 빼앗긴 것으로 확인됐다. 디도스 공격 등 이상 징후를 탐지하고 차단할 수 있는 보안 조치가 미흡했고, 정보보호를 위한 인력 및 투자가 경쟁사 대비 부족했던 것이 사이버 침해 사고의 주된 원인으로 지목됐다.

과학기술정보통신부와 한국인터넷진흥원(KISA)은 LG유플러스의 사이버 침해 사고에 대한 원인과 대응 조치 방안을 27일 발표했다.

앞서 LG유플러스는 올해 1월 초 연이은 사이버 공격으로 고객정보 유출, 유선인터넷 장애 등 각종 사고에 휘말렸다. 당시 과기정통부와 KISA는 LGU+의 고객정보 대량 유출을 중대한 침해사고로 판단해 지난 1월 11일부터 원인분석과 재발방지를 위한 대책 마련에 착수했다. 디지털포렌식 등 외부 전문가를 포함한 '민관합동조사단'도 운영했다. 하지만 LGU+에 대한 분산서비스 거부 공격(디도스)이 반복되면서 정부는 기존 조사단을 '특별조사점검단'으로 개편해 보다 심층적인 조사·점검을 수행했다. 

◆ 유출 고객 정보 29만7117명

이날 과기정통부와 KISA가 공개한 사고원인 분석 결과에 따르면 LG유플러스가 유출한 고객 정보는 29만7117명이다. LG유플러스가 확보한 60만건의 개인정보 중 동일인 중복 데이터를 제거해 29만6477명의 정보를 확인했다. 또 LG유플러스가 해커로부터 추가로 확보한 이미지로 된 데이터에서 1039명의 정보를 새로 확보했다. 다만 과기정통부는 이미지 파일만으로 해커가 추가적인 고객 데이터를 가지고 있다고 단정하기 어렵다며 유출규모가 더욱 확대될 가능성을 배제할 수 없다고 설명했다.

유출 시점은 2018년 6월 15일 03시58분으로 추정된다. 관련 시스템의 로그가 남아있지 않아 특정하기 어려우나 해당 시점 직후 유출 파일이 생성된 것으로 파악된다.

과기정통부는 2018년 6월 LGU+ 고객인증 DB 시스템의 취약점도 확인했다. 당시 고객인증 DB 시스템은 웹 관리자 계정 암호가 시스템 초기암호로 설정됐으며, 시스템에 웹 취약점이 있어 해당 관리자 계정으로 악성코드를 설치할 수 있었다. 특히 관리자의 DB접근제어 등 인증체계가 미흡해 해커가 웹셸을 이용해 파일을 유출했을 것으로 추정된다.

고객정보 유출에 따른 2차 피해는 스미싱, 이메일 피싱, 불법로그인, 유심(USIM) 복제 등이 발생할 수 있다. 다만 비밀번호가 암호화된 불법로그인과 실제 USIM 개인키가 필요한 USIM 복제 등의 피해 발생 가능성은 낮은 것으로 판단된다.

◆ 라우터 장비 외부 노출로 디도스 공격 집중

디도스 공격으로 인한 인터넷 먹통 사고는 LG유플러스의 라우터가 외부에 노출된 게 주요 원인으로 거론됐다. 

정부 조사 결과 LG유플러스 광대역데이터망의 주요 라우터에 대한 디도스 공격으로 1월29일과 2월4일 총 5회에 걸쳐 120분간 유선인터넷, 주문형비디오서비스(VOD), 070전화 서비스에 장애가 발생했다. 공격자는 1월 29일에 3회 총 63분 동안 주요 네트워크 장비 14대를 대상으로 디도스 공격을 시도했다. 2월4일에도 2회에 걸쳐 57분 동안 일부 지역 엣지라우터 320대를 대상으로 디도스 공격을 단행해 해당 지역에서 장애가 생겼다.

공격자는 네트워크를 구성하는 통신사의 라우터 장비를 대상으로 공격을 시도해 네트워크 장애를 유발시켰다. 디도스 공격 당시 LG유플러스는 68개 이상의 라우터가 외부에 노출됐다. 라우터 보호를 위한 보안장비(IPS) 설치도 미흡했던 것으로 드러났다.

과기정통부 관계자는 "LGU+는 고객정보 등이 포함된 대용량 데이터가 외부로 유출될 때, 이러한 비정상 행위의 위험성을 실시간으로 감시하고 통제할 수 있는 자동화된 시스템이 없었던 것으로 조사됐다"며 "즉, 네트워크 내·외부 대용량 데이터 이동 등 이상 징후를 탐지하고 차단할 수 있는 실시간 감시체계가 부재했다"고 설명했다.

◆ 정보보호 투자·인력 모두 부족

과기정통부는 이 같은 보안 사고의 원인으로 LG유플러스의 정보보호 투자가 타사 대비 현저히 떨어지는 점을 지목했다. 지난해 말 기준 LG유플러스의 정보보호 투자는 292억원으로 통신 3사 중 가장 적었다. 같은 기간 KT와 SK텔레콤의 정보보호 투자는 각각 1021억원, 860억원이었다. 정보보호 인력도 KT 336명, SKT 305명에 비해 훨씬 적은 91명에 머물렀다.

이에 과기정통부는 주요 보안인력을 타 통신사와 대등한 수준으로 보강하고, 정보보호책임자(CISOㆍCPO)를 CEO 직속 조직으로 강화해 전문화된 보안조직 체계 구성을 촉구했다. 또 정보보호 강화에 필요한 예산 규모를 타 통신사와 대등한 수준으로 확대할 것으로 요구했다.

LG유플러스는 이번 사태를 계기로 보안 체계를 대대적으로 손보고 있다. 사고 재발을 막기 위해 ▲정보보호 조직·인력·투자 확대 ▲외부 보안전문가와 취약점 사전점검·모의 해킹 ▲선진화된 보안기술 적용 및 미래 보안기술 연구·투자 ▲사이버 보안 전문인력 육성 ▲사이버 보안 혁신 활동 보고서 발간 등 내용을 담은 '사이버 안전 혁신안'을 만들었다. 연간 정보보호 투자액도 현재의 3배 수준인 1000억원으로 확대할 계획이다.

이종호 과기정통부 장관은 "기간통신사업자인 LGU+에 대한 조사·점검 결과 여러 가지 취약점이 확인됐다"며 "LGU+에 책임있는 시정조치를 요구했다"고 말했다. 이어 "기간통신사업자는 침해사고가 국민 일상의 불편을 넘어 막대한 경제적 피해, 사회 전반의 마비 등을 야기할 수 있음을 엄중히 인식하고 사이버위협 예방 및 대응에 충분한 투자와 노력을 다함으로써 국민들의 안전한 디지털 서비스 이용을 보장해야 할 책무가 있다"라고 강조했다.