데일리임팩트

[데일리임팩트 변윤재 기자] 올 초 LG유플러스에서 발생한 대규모 개인정보 해킹과 유출, 디도스(분산서비스거부) 피해는 '예고된 사고'였던 것으로 드러났다. 

실시간으로 이상 징후를 탐지·차단할 감시체계가 부재한데다 네트워크와 시스템을 보호·관리할 체계마저 부실했다. 전문 보안 인력과 관련 투자마저 부족해, 정보보안 역량의 내재화 또한 이뤄지지 못했다.통신·네트워크 기업이 고객 서비스의 핵심인 정보보안의 '기본'을 지키지 않은 셈이다. 

정부는 LG유플러스에 시정조치를 요구하는 한편, 사이버위협 예방·대응 체계 개편과 제도 개선을 추진할 방침이다. 

27일 과학기술정보통신부(과기정통부)와 한국인터넷진흥원 (KISA)은 LG유플러스에서 벌어진 사이버 침해사고 조사 결과를 발표했다. 

지난 1월 LG유플러스 가입자 정보 판매글이 해킹포럼에 올라온 뒤 2월 약 30만명의 정보가 유출된 것으로 확인됐다. 이어 1월29일과 2월4일에 각각 3회(총 63분)와 2회(총 57분) 총 5회의 디도스 공격으로 유선인터넷·주문형비디오(VOD)·070전화 등의 서비스 접속장애가 발생했다. 침해사고가 연달아 발생하자 과기정통부와 KISA는 특별조사점검단을 꾸려 약 3개월 동안 조사해왔다. 

점검단은 LG유플러스가 확보한 60만건의 데이터 중 중복자료를 제외하고 해커로부터 확보한 이미지, 전체회원 DB·고객인증 DB(CAS)·회원 해지고객 DB 등 3개 시스템과 대조해 사고 원인과 발생 시점을 확인했다. 

가입자 정보 유출은 고객인증 DB에서 발생한 것으로 추정됐다. 시스템 로그 보존 기간은 2년, 로그가 남아 있지 않아 유출 경로와 시점을 특정할 수 없었다. 2018년 취약점 분석 결과 보고서를 토대로 16개의 시나리오를 검증하는 방식으로 진행됐다. 

점검단에 따르면 2018년 고객인증 DB 웹 관리자 계정 암호가 시스템 초기 암호로 설정돼 있었다. DB접근을 막을 인증체계도 미흡했다. 웹취약점을 발견한 해커가 관리자 계정에 접근, 악성코드(웹셸)를 설치해 정보를 빼간 것으로 추측됐다. 점검단은 2018년 6월15일 03시58분 고객인증 DB에 마지막 업데이트가 이뤄진 점을 들어 비슷한 시기 정부 유출이 이뤄진 것으로 판단했다.

과기정통부는 "29만7117명의 정보가 빠져나간 것으로 보인다"며 "해커가 추가적인 고객 데이터를 가지고 있다고 단정하기는 어렵지만 유출 규모가 더 확대될 가능성도 배제하기 어렵다"고 밝혔다. 과기정통부는 암호화로 불법로그인과 유심 복제는 가능성이 적지만 스미싱, 이메일 피싱은 주의를 당부했다. 

유선 인터넷 서비스 접속장애를 일으킨 디도스 공격은 네트워크와 관련 장비 보안이 허술했던 게 원인으로 파악됐다.

타 통신사와 달리 LG유플러스는 68개 이상의 라우터가 외부에 노출돼 있었다. 포트 스캔을 통해 LG유플러스의 라우터만 골라 공격을 감행한 것으로 분석됐다. 또 타 통신사처럼 라우터 간 통신유형을 제한하는 대신 신뢰할 수 없는 장비와도 통신이 가능하게 설정돼있었다. 광대역데이터망에 라우터 보호를 위한 보안장비(IPS)도 설치되지 않았다. 라우터를 통해 다량의 비정상 패킷(데이터 송수신 단위)이 유입됐어도 감지할 수 없었던 것이다. 실제 라우터 과부하를 유발하는 '자원 소진 공격'이 진행, 중앙처리장치(CPU) 이용률 20% 미만에서 60～90%까지 증가했다. 

취약한 시스템에도 LG유플러스의 정보보안 체계는 허술했다. 네트워크 내·외부 대용량 데이터 이동 등 이상 징후를 탐지하고 차단할 실시간 감시체계가 없었다. 시스템별 로그 저장 기준과 보관기간도 불규칙했다.  주요 네트워크 정보가 노출돼 있어도 침입을 탐지할 보안장비나 IT 통합 관리체계 역시 부재했다. 

특히 정보보호 투자에 소극적으로 일관했던 사실이 확인됐다. 지난해 LG유플러스의 정보통신 투자 대비 정보보호 투자액 비중은 3.7%로 KT(5.2%), SK텔레콤(3.9%)보다 낮았다. 정보보호 인력도 91명으로KT(336명)와 SK텔레콤(305명)와 비교해 현저히 적었다. 과기정통부는 "핵심 서비스와 내부정보 등을 보호할 전문인력이 부족하고, 정보보호 조직의 권한과 책임도 미흡했다"며 "관련 조직이 분산돼 있다보니, 긴급 상황이 발생해도 신속하게 유기적으로 대응하지 못했던 것으로 보인다"고 지적했다. 

이는 내부의 느슨한 보안의식으로 이어졌다. 해킹메일 외에 사이버 위협을 가정한 실전형 침투훈련이 부족했고, 임직원 보안교육은 형식에 그쳤다. 실무용 보안매뉴얼을 만들지도 않았다. 

과기정통부는 인공지능(AI) 기반 감시체계를 고객정보처리시스템까지 확대하고, 중요 IT자산 로그를 관리할 체계를 구축하하라고 요구했다.  IT자산 통합관리시스템을 도입해 분기마다 1회 이상 취약점을 점검하고 외부기관이 만든 공격 시나리오에 따라 연 2회 이상 실전훈련을 실시하라고도 했다. C레벨을 포함한 임직원 대상 보안교육, 실무용 보안매뉴얼 개발, 정보보호책임자를 최고경영자(CEO) 직속 조직으로 격상,  주요 보안인력과 관련 예산 강화를 요구했다. 

과기정통부는 침해사고 재발 방지를 위해 제도를 손질한다. 사이버침해대응센터에 사이버위협통합탐지시스템을 구축하고, 침해사고 정황이 명확한 경우에도 자료제출 요구를 할 수 있도록 한다. 침해사고가 발생했는데도 신고하지 않는 경우, 최대 2000만원의 과태료를 물릴 수 있게 한다. 침해사고 조치방안을 의무화하고 국가 차원에의 보안관리 체계를 추진하기로 했다. 

점검단의 조사와 별개로 개인정보보호위원회(개인정보위)는 제재 여부를 검토 중이다. 개인정보위는 침해사고 발생 일주일이 지난 뒤에야 LG유플러스가 유출 사실 공지한 점에 주목하고 있다. 개인정보보호법에 의하면, 정보처리자가 유출을 인지한 24시간 이내 이를 알려야 한다. 

한편 LG유플러스는 과기정통부 발표 이후 입장문을 냈다. 회사는 "사고 발생 시점부터 사안을 심각하게 받아들이고 있으며 과기정통부의 시정 요구사항을 전사적인 차원에서 최우선으로 수행할 예정"이라고 밝혔다. 

그러면서 지난 2월 CEO 직속의 사이버안전혁신추진단을 구성한 뒤 자체적으로 보완책을 마련, 실시하고 있다고 전했다. LG유플러스는 △사이버 공격에 대한 자산 보호 △인프라 고도화를 통한 정보보호 강화 △개인정보 관리 체계 강화 △정보보호 수준 향상의 4대 핵심 영역에서 102개 세부 과제를 수행 중이다. 이를 위해 3년 간 1000억원을 투자하고 있다.