[디지털데일리 권하영 기자] 올초 발생한 LG유플러스의 고객정보 유출 및 서비스 접속 장애 사태는 회사의 총체적 보안관리 부실이 원인이었던 것으로 드러났다.
정부는 일단 LG유플러스에 시정조치를 내리고 재발방지를 약속받았지만, 회사는 추후 개인정보보호법 등 관련법에 따라 과징금 등 제재를 피할 수 없을 것으로 보인다.
◆ 과기정통부, LGU+ 정보유출·접속장애 원인 발표
과학기술정보통신부(이하 과기정통부)는 27일 광화문 정부서울청사에서 브리핑을 갖고 지난 1월부터 실시한 현장 조사 등을 통해 분석한 LG유플러스 정보 유출·접속 장애 사고 원인과 조치방안을 발표했다.
먼저 정보유출 건과 관련해, 과기정통부는 LG유플러스에서 2018년 6월께 생성된 29만7117명분 개인정보가 회사 고객 인증 시스템에서 유출됐을 것으로 추정했다.
정확한 유출 경로는 파악되지 않았지만, 당시 고객인증 DB 시스템에서 웹 관리자 계정 암호가 시스템 초기 암호로 설정돼 있어 관리자 계정으로 악성코드(웹셸)를 설치할 수 있었던 상황으로 추측된다. 여기에 관리자의 DB접근제어 등 인증체계도 미흡해, 해커가 웹셸을 이용해 파일을 유출해 간 정황으로 보인다.
과기정통부는 “해커가 추가적인 고객 데이터를 가지고 있다고 단정하기는 어렵지만 유출 규모가 더 확대될 수 있는 가능성도 배제하기 어렵다”고 밝혔다. 2차 피해 가능성에 대해서는 스미싱 또는 이메일 피싱 가능성이 남아 있고, 불법 로그인이나 유심(USIM) 복제는 비밀번호 암호화 등 조치로 가능성이 적다고 판단했다.
서비스 접속 장애를 일으킨 디도스 공격의 경우 내부 라우터 장비 외부 노출, 라우터 간 접근제어 정책 미흡, 주요 네트워크 구간 보안장비 미설치 등이 원인인 것으로 파악됐다. 해당 접속 장애는 올해 1월29일과 2월4일 각각 63분과 57분에 걸쳐 유선인터넷, VOD, 070 전화 서비스에서 발생했다.
라우터 정보 노출을 최소화한 타 통신사와 달리, LG유플러스는 디도스 공격 전에 약 68개 이상의 라우터가 외부에 노출되어 있었다. 이에 라우터 장비에 다량의 비정상 패킷이 유입됐고 중앙처리장치(CPU) 이용률이 평소 20% 미만에서 60∼90%까지 급상승하는 등 라우터 과부하를 유발하는 ‘자원 소진 공격’이 있었던 것으로 분석됐다.
◆ LGU+, 타사 대비 정보보호 투자 현저히 떨어져
과기정통부는 이들 보안 사고의 원인으로 LG유플러스의 정보보호 투자가 타사 대비 현저히 떨어지는 점을 지목했다. 지난해 LG유플러스의 전체 정보통신 투자 대비 정보보호 투자액 비중은 3.7%로 KT(5.2%)나 SK텔레콤(3.9%)보다 낮았다. 정보보호 인력도 KT(336명)나 SK텔레콤(305명)에 비해 훨씬 적은 91명 수준이었다.
아울러, LG유플러스에서 네트워크 구간마다 침입 탐지·차단 보안장비가 없었고 전사적인 정보기술(IT) 자원에 대한 통합 관리시스템도 부재했다고 봤다.
과기정통부는 LG유플러스가 정보보호 인력과 예산을 타사 수준까지 확대할 것과 CEO 직속 정보보호 조직 구성, 맞춤형 모의훈련 및 C레벨 포함 보안 필수교육을 도입할 것을 요구했다. 또 분기별로 보안 취약점을 점검하고 실시간 모니터링 체계와 IT 자산 통합 관리 시스템 개발·구축, 라우터 보호 시스템(IPS) 등 보안 장비 확충을 요구했다.
과기정통부 차원의 제도개선도 약속했다. 기존에는 침해사고 발생시에만 가능했던 자료제출 요구를 침해사고 정황 또는 징후가 명확한 경우에도 할 수 있도록 관련 근거를 두기로 했다. 또 불이익 때문에 침해사고를 신고하지 않으려는 사업자를 위해 신고 내용과 신고 자료의 보호 근거를 마련하고, 침해사고가 발생해도 신고하지 않은 자에 대해서는 과태료를 최대 2000만원까지 부과하도록 해 신고의무를 보다 강화한다.
◆ 개인정보보호법 위반 여부 및 제재 검토 있을 듯
이와 별개로 수사당국의 사이버 공격자 추적 및 개인정보보호위원회(이하 개인정보위) 차원의 과징금 제재 검토는 계속 진행될 예정이다.
특히 정보유출의 경우 LG유플러스가 해당 유출을 인지한 시점은 1월2일이지만 고객에게 이를 공지한 시점은 1월10일로 상당한 시간 차이가 난다. 개인정보보호법에 따르면 개인정보처리자는 개인정보 유출을 인지했을 경우 ‘지체 없이’(시행령에 따르면 24시간 이내) 정보주체에게 관련 내용을 알려야 한다.
홍진배 과기정통부 네트워크정책실장은 “개인정보보호법에 따라 개인정보위에서 통지가 적정하게 이뤄졌는지 살펴보고 있다. 추후에 개인정보위에서 판단해 따로 말할 수 있을 것”이라고 말했다. 아울러 “경찰에서 공격자를 추적하고 있고, 긴밀하게 자료를 주고받으며 심도 있게 수사를 진행하고 있다”고 알렸다.
◆ LGU+ “고객들께 다시 한번 사과…시정조치 최우선 수행”
한편 LG유플러스는 이날 과기정통부 발표 이후 입장문을 내고 “올해 초 발생한 정보유출과 인터넷 접속 오류로 인해 불안과 불편을 느끼셨을 고객분들께 다시 한번 사과드린다”며 “과기정통부의 원인 분석 결과에 따른 시정 요구사항을 전사적인 차원에서 최우선으로 수행할 예정”이라고 전했다.
LG유플러스는 지난 2월 CEO 직속의 사이버안전혁신추진단을 구성하고 ▲사이버 공격에 대한 자산 보호 ▲인프라 고도화를 통한 정보보호 강화 ▲개인정보 관리 체계 강화 ▲정보보호 수준 향상 등 4대 핵심 과제에 102개 세부 과제를 선정해 수행하고 있다. 이를 위한 1000억원 규모의 대규모 투자도 진행하고 있는 상황이다.