29.7만명 개인정보 유출…정부, LGU+에 정보보호 투자 강화 요청
개인정보 유출 30만건 육박
AI 기반 모니터링·분기별 1회 보안 취약점 점검 주문
뼈를 깎는 성찰 강조한 LGU+ "1000억 규모 투자 진행 중"
2023-04-27 15:24:40 2023-04-28 10:33:48
[뉴스토마토 이지은 기자] 연초 발생한 LG유플러스(032640)의 개인정보유출·분산서비스거부(디도스) 공격으로 인한 유선인터넷 장애 사고가 이상 징후를 실시간으로 감시하는 체계와 보안 장비 부재에 따른 것으로 파악됐습니다. 특히 이를 관리 감독할 전문 보안인력이 다른 통신사 대비 부족하고, 보안 투자도 상대적으로 저조한 것이 사태 발생 시 발빠른 대응을 막은 원인으로 지목됐습니다. 정부는 LG유플러스에 시정조치를 요구하는 한편, 투자 강화를 요청했습니다. 정부의 발표 후 LG유플러스는 재차 사과에 나서며, 뼈를 깎는 성찰을 통해 보안, 품질에 있어 가장 강한 회사로 거듭나겠다고 밝혔습니다. 
 
개인정보 유출 30만건 육박 
 
과학기술정보통신부와 한국인터넷진흥원(KISA)은 27일 LG유플러스 침해사고 원인분석 및 조치방안을 발표했습니다. 
 
과학기술정보통신부와 한국인터넷진흥원(KISA)은 27일 LG유플러스 침해사고 원인분석 및 조치방안을 발표했다. (사진=뉴스토마토)
 
지난 1월부터 LG유플러스를 대상으로 지속된 사이버공격에 대한 최종 조사 결과, 중복 데이터를 제거한 개인정보 유출 피해자는 총 29만7117명으로 확인됐습니다. 유출 시점은 약 5년 전인 2018년 6월15일이 지목됐습니다. 정부는 데이터 유출이 고객인증 데이터베이스(DB)를 통해 이뤄진 것으로 추정했습다. LG유플러스 고객인증 DB는 웹 관리자 암호가 시스템 초기 상태로 설정돼 있는데, 웹 취약점이 있어 악성코드 설치가 가능했고, 관리자 DB접근제어 인증체계가 미흡해 파일 유출이 용이했을 것으로 진단했습니다. 
 
디도스 공격으로 1월29일과 2월4일 총 5회, 120분에 걸쳐 벌어진 서비스 장애 원인은 외부 노출된 라우터로 파악됐습니다. 타 통신사는 라우터 정보 노출을 최소화했지만, LG유플러스 라우터 중 68개가 외부에 노출돼 있던 것으로 조사됐습니다. 아울러 LG유플러스의 주요 라우터는 라우터 간 경로정보 갱신에 필수적인 통신 외 신뢰할 수 없는 장비와도 통신이 가능한 상태로 운영돼 비정상 패킷 수신이 가능했다는 것이 정부측 설명입니다. 광대역망에 라이터 보호를 위한 보안장비(IPS)가 설치돼 있지 않은 점도 디도스 공격의 원인으로 지목됐습니다. 
 
고객인증 시스템을 통한 유출 경로 시나리오. (자료=과기정통부)
 
AI 기반 모니터링·분기별 1회 보안 취약점 점검 주문 
 
과기정통부는 LG유플러스에 정보보호책임자(CISO·CPO)를 최고경영자(CEO) 직속 조직으로 강화하고 보안에 대한 투자를 늘릴 것을 주문했습니다. 세부적으로는 메일시스템에만 적용돼 있는 인공지능(AI)기반 모니터링 체계를 고객정보처리시스템까지 대상을 확대해 사이버위협에 대해 실시간으로 감시할 수 있도록 개선할 것, 분기별로 1회 이상 모든 IT자산에 대한 보안 취약점을 점검하고 제거할 것을 요청했습니다. 
 
LG유플러스에 내린 시정조치와 별개로 과기정통부는 전반적인 침해사고 탐지·분석 대응체계 고도화에도 나설 계획입니다. 현재 개별 사이버위협 대응에 이용하는 탐지시스템을 사이버위협통합탐지시스템으로 통합구축하고 고위험 시스템을 조기 탐지·식별하는 체계를 갖추도록 할 방침입니다. 또 해킹 징후가 명확한 기업 대상으로 자료제출을 빠르게 요구할 수 있도록 법령을 개정하고, 해킹을 당하더라도 신고하지 않는 기업에 대해서는 과태료를 기존 1000만원에서 2000만원으로 높일 계획입니다. 기존 시정조치를 권고만 할 수 있는 규정을 명령까지 할 수 있도록 현행 규정을 강화할 예정입니다. 
 
뼈를 깎는 성찰 강조한 LGU+ "1000억 규모 투자 진행 중"
 
LG유플러스는 지난 2월16일 개선방안으로 사이버 안전혁신안 발표와 함께 공식 사과에 나선 이후 이날 재차 사과문을 발표했습니다. LG유플러스는 입장자료를 통해 "올해초 발생한 정보유출과 인터넷 접속 오류로 인해 불안과 불편을 느끼셨을 고객분들께 다시 한번 사과드린다"면서 "뼈를 깎는 성찰로 고객들에게 더 깊은 신뢰를 주는, 보안, 품질에 있어 가장 강한 회사로 거듭나겠다"고 강조했습니다. 
 
지난 2월16일 황현식 LG유플러스 대표(왼쪽에서 세번째)를 비롯한 경영진이 고객정보유출 및 디도스 공격에 따른 인터넷 서비스 오류 등에 대해 사과하고 있다. (사진=LG유플러스)
 
황현식 최고경영자(CEO) 직속의 사이버안전혁신추진단을 구성하고, 1000억원 규모의 정보보안 투자가 진행중인 점도 알렸습니다. LG유플러스는 "개인정보 보호·디도스 방어를 위한 긴급 진단과 보안 장비인 IPS와 솔루션을 도입했고, 접근제어 정책 강화 등 즉시 개선이 가능한 부분들은 조치를 완료했다"며 "사이버 공격에 대한 자산 보호, 인프라 고도화를 통한 정보보호 강화, 개인정보 관리 체계 강화, 정보보호 수준 향상 등 4대 핵심 과제에 102개 세부 과제를 선정해 수행하고 있다"고 말했습니다.  
 
이지은 기자 jieunee@etomato.com
 
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 김나볏 테크지식산업부장이 최종 확인·수정했습니다.

ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지

지난 뉴스레터 보기 구독하기
관련기사