매일 경제

데이터 유출 감시 시스템 부재…피해보상협의체 운영과 재발 방지 집중

[톱데일리] LG유플러스에서 발생한 디도스(DDoS) 공격과 고객 정보 유출 사건에 대한 원인이 밝혀졌다. 정부 조사 결과 올해 초 디도스 공격으로 인한 서비스 장애 당시 LG유플러스는 침입 탐지 등 사이버 공격을 차단할 수 있는 대응 시스템이 없었던 것으로 확인됐다.

◆ 디도스 공격 원인 분석 발표…실시간 탐지체계 부재

과학기술정보통신부와 한국인터넷진흥원(KISA)이 올해 초 발생한 LG유플러스의 사이버 침해사고 원인을 분석하고 LG유플러스의 전반적인 정보보호 침해 예방·대응체계를 점검해 관련 조치사항을 27일 발표했다.

앞서 지난 1월 초 LG유플러스는 연이은 사이버 공격으로 고객정보 유출, 인터넷 등 장애가 발생했다. 당초 LG유플러스는 사고 발생 직후 정보 유출 피해 건수를 18만명이라고 분석했지만 이후 정부와 합동 조사 결과 29만명인 것으로 확인됐다.

홍진배 과기정통부 네트워크정책실장은 "고객 정보 유출로 인해 추가적으로 발생할 수 있는 2차 피해는 스미싱, 이메일 피싱, 불법로그인, 유심(USIM) 복제 등 가능성이 있지만, 불법로그인은 비밀번호가 암호화돼 있고 USIM 복제는 개인키가 있어야 하므로 피해 발생 가능성은 낮은 것으로 판단된다"고 말했다.

이날 과기정통부가 발표한 'LG유플러스 침해사고 원인분석 및 조치사항'에 따르면 LG유플러스는 디도스 공격을 받던 당시 내부 라우터 정보가 등 주요 네트워크 정보가 외부에 많이 노출돼 있었고, 네트워크 각 구간에 침입 탐지·차단 등 보안장비가 없었고, 전사 IT 자원에 대한 통합 관리시스템도 부재했다.

과기정통부 조사 결과 정확한 정보 유출 경로는 파악되지 않았지만, 사건 당시 고객인증 데이터베이스(DB) 시스템에 웹 관리자 계정 암호가 시스템 초기 암호로 설정돼 있어, 관리자 계정으로 악성코드를 설치할 수 있었다. 관리자 DB 접근 제어 등 인증체계가 미흡했고 실시간 탐지 체계가 없었던 것이 사고 원인으로 추정된다.

핵심 서비스와 내부정보 등을 보호하기 위한 전문 보안인력과 정보보호 투자도 부족했던 것으로 나타났다. 특히 IT 및 정보보호 관련 조직이 LG유플러스 내 여러 곳에 분산돼 있어 긴급 상황 발생 시 유기적인 대응과 빠른 의사 결정에 어려움이 있었던 것으로 분석됐다.

과기정통부는 LG유플러스의 정보보호 투자가 타사 대비 떨어지는 점을 지적했다. 지난해 LG유플러스의 전체 정보통신 투자 대비 정보보호 투자액 비중은 3.7%로 KT 5.2%, SK텔레콤 3.9%보다 낮았다. 정보보호 인력도 KT 336명, SK텔레콤 305명에 비해 적은 91명 수준이었다.

과기정통부와 KISA는 현재 메일 시스템에만 적용된 인공지능(AI) 기반 모니터링 체계를 고객정보처리시스템까지 확대하고 IT 자산 중요도에 따른 로그 정책과 중앙로그관리시스템을 수립·구축해 주기적인 점검을 수행하도록 했다고 전했다. 또 분기별로 1회 이상 보안 취약점을 점검하는 등 시스템 관리체계를 개선할 계획이다.

이종호 과기정통부 장관은 "기간통신사업자인 LG유플러스에 대한 조사·점검 결과 여러 취약점이 확인됐으며 이에 대해 책임있는 시정조치를 요구했다"며 "정부도 지능적·조직적 사이버 위협에 대비해 기존 정보보호 체계를 보다 실효성 높은 체계로 강화해 국민들과 기업이 신뢰하는 디지털 서비스 강국을 구축해 나가겠다"고 말했다.

◆ 정보 보안에 1000억원 투자…피해보상협의체 운영 등 집중

LG유플러스는 과기정통부 발표 이후 입장문을 내고 "다시 한번 진심으로 사과드린다"며 "사고 발생 시점부터 사안을 심각하게 받아들이고 있으며 과기정통부의 원인 분석 결과에 따른 시정 요구사항을 전사적인 차원에서 최우선으로 수행할 예정"이라고 전했다.

앞서 디도스 공격 이후 고객 정보 유출 피해 규모가 추가로 늘어난 것이 확인되자 지난 2월 황현식 LG유플러스 대표와 경영진들은 서울 LG 유플러스 용산사옥에서 "재발 방지에 최선을 다하겠다"며 한 차례 고개를 숙여 사과하기도 했다.

LG유플러스는 지난 2월부터 대표이사(CEO) 직속 사이버안전혁신추진단을 구성해 사이버 공격에 대한 자산 보호, 인프라 고도화를 통한 정보보호 강화, 개인정보 관리 체계 강화, 정보보호 수준 향상 등 4대 핵심 과제에 102개 세부 과제를 진행하고 있다. 이를 위한 1000억원 규모의 대규모 투자도 준비하고 있다.

LG유플러스는 "사고 직후 개인정보 보호 및 디도스 방어를 위한 긴급 진단과 보안 장비 및 솔루션 도입, 클라우드를 활용한 서비스의 긴급 점검, 접근제어 정책 강화 등 즉시 개선이 가능한 부분들을 조치 완료했다"며 "정보통신 통합 자산관리 시스템 등 통합관제센터 구축에 대한 세부 과제도 착수했다"고 설명했다.

LG유플러스는 또 화이트 해커 등 외부 전 문가를 활용한 취약점 점검 및 기술적 예방활동 강화, AI 기반 개인정보 탐지 시스템 구축, IT 서비스 이상행위 모니터링 시스템 고도화를 위해 세부 과제를 수립하고 추진한다는 계획이다.

외부 전문가 그룹으로 구성된 정보보호 자문위원회를 본격 가동하고, 회사 내 CEO(최고경영자) 직속 정보보호책임자(CISO·CPO) 조직도 개선할 계획이다. 피해보상협의체 운영과 함께 사이버 보안 전문 인력 육성 등도 함께 진행할 예정이다.

LG유플러스는 "개인정보를 비롯한 전사적인 정보보호 강화 활동을 지속하고 진행 상황은 단계별로 투명하게 공개하고, 종합적 보안 대책은 추후 상세히 설명하는 시간을 갖겠다"며 "다양한 염려와 의견을 충분히 반영하고, 뼈를 깎는 성찰로 고객들에게 더 깊은 신뢰를 주는 보안과 품질에 있어 가장 강한 회사로 거듭나겠다"고 말했다.





톱데일리
이진휘 기자 hwi@topdaily.co.kr