[디지털데일리 권하영 기자] 올초 LG유플러스에서 발생한 고객정보 유출 및 서비스 접속 장애는 회사의 보안 시스템 관리 부실이 원인이라는 정부 판단이 나왔다.
과학기술정보통신부(이하 과기정통부)는 27일 정부서울청사에서 브리핑을 갖고 지난 1월부터 실시한 현장 조사 등을 통해 분석한 LG유플러스 정보 유출 및 접속 장애 사고 원인과 조치방안을 발표했다.
과기정통부는 LG유플러스에서 2018년 6월께 생성된 29만7117명분 개인정보가 고객 인증 시스템에서 유출됐을 것으로 추정했다. 정확한 유출 경로는 파악되지 않았지만, 당시 고객인증 DB 시스템에서 웹 관리자 계정 암호가 시스템 초기 암호로 설정돼 있어 관리자 계정으로 악성코드(웹셸)를 설치할 수 있었던 상황으로 추정된다.
올해 1월29일과 2월4일 각각 63분과 57분에 걸쳐 유선인터넷, VOD, 070 전화 서비스 접속 장애를 일으킨 디도스 공격은 내부 라우터 장비 외부 노출, 라우터 간 접근제어 정책 미흡 등이 원인인 것으로 파악됐다. 라우터 정보 노출을 최소화한 타 통신사와 달리, LG유플러스는 디도스 공격 전에 약 68개 이상의 라우터가 외부에 노출되어 있었다.
과기정통부는 시정조치로 정보보호 인력·예산을 타사 수준까지 확대할 것과 CEO 직속 정보보호 조직 구성, 맞춤형 모의훈련 및 C레벨 포함 보안 필수교육을 도입할 것을 회사에 요구했다. 또 분기별로 보안 취약점을 점검하고 실시간 모니터링 체계와 IT 자산 통합 관리 시스템 개발·구축, 라우터 보호 시스템(IPS) 등 보안 장비 확충을 요구했다.
다음은 홍진배 과기정통부 네트워크정책실장과 최광희 한국인터넷진흥원(KISA) 본부장과의 일문일답.
Q. 대리점·판매점을 통한 유출 가능성은 없는지.
A. (홍진배 실장) 16개 시나리오 중 가장 근거 있는 것을 기준으로 판단했다. 인증체계 관리 부실로 계정 비밀번호를 쉽게 탈취 가능한 상황이었다. 대리점이나 판매점을 통해 빠져나가는 경우도 생각해봤지만 이들은 직접 접속에 한계가 있어 가능성 낮다고 본다.
Q. 유출 규모가 29만명이 아니라 39만명 유출이라는 얘기도 있는데.
A. (홍진배 실장) 개인정보보호위원회(이하 개보위)와 계속 확인 작업 중이다. 이와 별도로 경찰청은 수사를 계속 진행하고 있다. 특별점검단은 조사할 수 있는 부분을 다 했고, 다만 이미지 파일 등이 올라와 있기 때문에 추후에 정보 유출이 추가 발생할 가능성도 열어두고 모니터링할 계획이다.
Q. 유플러스가 정보유출을 인지한 시점이 정확히 언제인지. 개인정보보호법에 따르면 유출을 인지한 시점에서 지체 없이 고객에게 알려야 하는데.
A. LG유플러스가 인지한 시점은 1월2일이고 고객들에게 통지한 게 1월10일로 알고 있다. 여기에 대해서는 개보위에서 고객 통지 적정선을 별도로 조사 중인 것으로 안다.
Q. 해지고객 정보 보유 기간이 5년인 걸로 아는데. 그 기간을 넘긴 건지.
A. (최광희 본부장) 개보위에서 별도 조사 중이지만 개보법에 따라 탈퇴한 회원도 개보법에 요구하는 경우 일정 경우 정보를 보유할 수 있다. 해지고객 정보를 보유했다는 것 자체만으로 위법 여부를 보긴 어려울 것 같다.
Q. 원인이 전부 추정에 그친다. 나중에 원인이 새로 발견되면 또 시정조치할 계획인지.
A. (홍진배 실장) 시스템 로그들이 다 남아 있어야 접속 경로를 추적해볼 수 있는데, 시스템 로그 보존 기간이 2년이어서 이미 지난 시점이다. 시스템 로그가 없는 상황에선 가상의 시나리오를 얘기할 수밖에 없는 상황이다. 다만 당시 외부 기관에서 취약점 분석 보고서를 통해 가입자 계정 취약점과 인증 취약점을 지목하고 있다. 16개 시나리오를 다 놓고 봤을 때 가장 근거가 있는 시나리오로 판단이 된다.
Q. 외부 보고서 작성 시점이 2018년 6월이고, 첫 유출 예상 시점도 비슷한 시기다. 그럼에도 예방이 불가능했던 건지.
A. (홍진배 실장) 유사한 시기에 취약점이 있었기 때문에 그 취약점을 활용한 공격이 가능했다는 게 설득력 있는 추정이다. 그 이후 유플러스도 보안 조치는 한 것으로 안다. 다만 탐지 시스템이나 이런 게 없었기 때문에 인지하지 못했던 걸로 파악된다.
Q. 정보유출 정황이 나와도 부정하는 상황이 반복되고 있다. 법제 개선을 어떻게 할 건지.
A. (홍진배 실장) 기업들이 침해사고 당한 사실 자체를 노출 안시키려고 하는 유인이 강하다. 침해 사고를 신고하면 그에 대해 보호를 해주고, 침해 사고를 신고하지 않았을 때 과태료도 상향해서 당근과 채찍 두가지를 병행하겠다. 사실 신고했다고 해도 해당 기업도 피해자이기 때문에 그 자체를 처벌하지 않는다. 다만 개인정보 관리를 부실하게 한 경우 별도법에 따라 처벌 대상이다.
Q. 데이터 유출 시 이상징후 감시 시스템을 강제적으로 도입할 수 없을까.
A. (홍진배 실장) 보안 취약점은 운영 과정에서 계속 발생하기 때문에 적어도 주기적으로 점검을 분기별로 1회 이상 모든 IT 자산에 대해 하도록 권고를 했다. AI 기반 모니터링 체제 및 중앙보고관리시스템 등 권고했는데 유플러스에서도 전향적으로 검토하고 있다. 지금보다 보안 시스템이 획기적으로 높아질 것으로 기대한다.
Q. 디도스 공격 관련해 내부 라우터 장비가 노출됐다고 했는데 그 양태가 궁금하다.
A. (최광희 본부장) 라우터 정보 노출의 경우 라우터는 네트워크 중요 기기이므로 외부에서 식별할 수 없게 가려야 한다. LG유플러스는 라우터 포트 정보가 노출돼 있는 상태였고, 해커도 그런 라우터를 식별할 수 있는 상황이었다. 라우터는 신뢰할 수 있는 라우터만 식별할 수 있도록 가려져 있어야 했는데 미흡했다.
Q. 디도스 공격세력의 IP 소재지가 발견된 게 있는지.
A. (최광희 본부장) 해커들이 공격할 때 공격 원점을 노출시키지 않기 위해 가짜 IP로 바꿔서 공격을 한다. 검찰이나 조사 기관에서 추적하기 어려운 탓에 시간이 걸리고 있다.