과학기술정보통신부와 한국인터넷진흥원(KISA)은 27일 지난 1월과 2월 LG유플러스에서 발생한 개인정보 유출과 디도스 공격으로 인한 인터넷망 마비 등 사이버 침해 사고 원인에 대한 조사 결과를 발표했다. /더팩트DB

[더팩트｜최문정 기자] 과학기술정보통신부와 한국인터넷진흥원(KISA)은 27일 지난 1월 발생한 LG유플러스의 사이버 침해 사고 원인과 예방·대응 체계를 담은 'LG유플러스 침해사고 원인 분석 및 조치 방안'을 발표했다.

과기정통부는 지난 1월 LG유플러스의 고객 정보 대량 유출을 중대한 침해 사고로 판단하고, KISA와 함께 현장조사를 벌여왔다. 또한 정확한 사고 원인 분석과 재발방지 대책 등을 마련하기 위해 외부 전문가를 포함한 '민관합동조사단'을 구성했다.

그러나 그 이후에도 LG유플러스 정보통신망에 디도스(분산서비스 거부·DDoS) 공격이 발생해 유선 인터넷 등의 접속 장애가 반복됐다. 이에 과기정통부는 LG유플러스에 대한 심층적인 정보보호 예방 대응 체계를 점검할 필요가 있다는 판단하에 기존 조사단을 '특별조사점검단'으로 개편해 지난 2월부터 본격적인 조사와 점검에 나섰다.

조사 결과에 따르면, 유출 시점은 지난 2018년 6월15일 이후로 추정된다. 유출 규모는 총 29만7117명에 달한다. 다만, 과기정통부는 유출규모가 더욱 확대될 수 있는 가능성도 배제하기 어렵다고 덧붙였다.

과기정통부는 고객정보 유출 경로가 암호와 데이터베이스(DB)접근제어 미흡 등 LG유플러스 고객인증 시스템 취약점을 꼽았다. 또한 대용량 데이터 이동 등 실시간 탐지체계가 부재했던 것으로 파악됐다.

고객정보 유출 당시 고객인증 시스템은 웹 관리자 계정 암호가 시스템 초기로 설정돼 있었다. 또한 시스템에 웹취약점이 있어 해당 관리자 계정으로 해커가 악성코드를 설치할 수 있었다. 동시에 관리자의 DB접근제어 등 인증체계가 미흡해 해커의 파일 유출이 가능했을 것으로 추정됐다.

LG유플러스는 이용자 데이터가 유출될 때 이를 실시간으로 감지하고 통제할 수 있는 감시 체계가 부재했던 것으로 확인됐다. 시스템별 로그 저장 기준과 보관기간 또한 불규칙했다.

과기정통부는 이용자 정보 유출로 스미싱, 이메일 피싱, 불법 로그인, 유심 복제 등의 2차 피해 가능성이 있다고 분석했다. 다만 불법 로그인과 유심 복제의 가능성은 낮은 것으로 판단했다.

과학기술정보통신부는 LG유플러스의 고객정보 유출 경로가 암호와 데이터베이스(DB)접근제어 미흡 등 고객인증 시스템 취약점을 꼽았다. /과학기술정보통신부

디도스 공격으로 인한 인터넷망 장애의 경우, LG유플러스의 라우터가 외부에 노출돼 있던 것이 원인으로 꼽혔다.

과기정통부는 "타 통신사는 라우터 정보 노출을 최소화하고 있으나, LG유플러스는 디도스 공격 전에 약 68개 이상의 라우터가 외부에 노출돼 있었다"며 "이에 따라 공격자는 포트 스캔을 통해 LG유플러스의 라우터를 특정하고, 노출된 포트를 대상으로 디도스 공격을 감행한 것으로 분석된다"고 설명했다.

더욱이 LG유플러스의 주요 라우터는 신뢰할 수 없는 장비와도 통신이 가능한 상태로 운영돼 비정상 패킷 수신이 가능했던 것으로 나타났다. 접근 제어 정책(ACL) 등의 보안 조치가 미흡했던 지점이다.

라우터 보호를 위한 보안장비(IPS)가 설치되지 않았던 점 또한 원인으로 지목됐다. 네트워크 각 구간에 침입 탐지·차단 보안장비가 없었고 전사 IT 자원에 대한 통합 관리 시스템도 부재했다.

과기정통부는 이번 사태를 계기로 LG유플러스에 인공지능(AI) 기반 모니터링 체계 확대와 분기별로 1회 이상 보안 취약점 점검 등의 개선 조치 등을 요구했다.

또한 과기정통부는 LG유플러스에 타 통신사와 대등한 수준으로 전문 보안 인력을 충원하고, 정보 보호 투자에 나설 것을 주문했다. 임직원 대상의 맞춤형 모의 훈련과 보안 교육을 연 2회 이상 수행하고 실무형 보안 매뉴얼 마련도 주문했다.

과기정통부 역시 최근 더욱 다양해지고 있는 사이버 위협에 선제적·체계적으로 대응하기 위해 KISA와 함께 '사이버 위협 통합 탐지 시스템'을 통합 구축한다. 또 수사기관과 공조할 수 있는 '능동적 사이버 공격 추적체계'도 도입한다.

또한 침해 사고 정황이 있는 사업자에게 자료 제출을 요구할 수 있도록 법령상 규정도 명확히 해 사이버 위협에 신속 대응할 수 있도록 한다. 특히 침해 사고가 발생해도 신고하지 않은 자에 대해서는 최대 2000만 원의 과태료를 부과한다.

조치 방안을 의무 이행할 수 있는 규정도 신설한다. 권고 수준에서 '권고 또는 명령'으로 강화한다는 방침이다.

이종호 과기정통부 장관은 "기간통신사업자는 침해사고가 국민 일상의 불편을 넘어 막대한 경제적 피해, 사회 전반의 마비 등을 야기할 수 있음을 엄중히 인식하고 사이버 위협 예방과 대응에 충분한 투자와 노력을 다함으로써 국민들의 안전한 디지털 서비스 이용을 보장해야 할 책무가 있다"고 말했다.

LG유플러스는 이러한 과기정통부의 검증 결과를 수용한다는 입장이다.

LG유플러스는 이날 입장문을 통해 "올해 초 발생한 정보유출과 인터넷 접속 오류로 인해 불안과 불편을 느끼셨을 고객들께 다시 한번 사과드린다"며 "LG유플러스는 사고 발생 시점부터 사안을 심각하게 받아들이고 있으며, 과기정통부의 원인 분석 결과에 따른 시정 요구사항을 전사적인 차원에서 최우선으로 수행할 예정이다"고 밝혔다.

LG유플러스는 앞서 지난 2월 황현식 대표이사(CEO) 직속의 사이버안전혁신추진단을 구성했다. 또한 △사이버 공격에 대한 자산 보호 △인프라 고도화를 통한 정보보호 강화 △개인정보 관리 체계 강화 △정보보호 수준 향상 등 4대 핵심 과제에 102개 세부 과제를 선정해 수행 중이다. 아울러 1000억 규모의 대규모 투자를 통해 보안 수준을 높이고, 전문 인력을 충원한다는 구상이다.

munn09@tf.co.kr