[디지털투데이 백연식 기자] LG유플러스의 개인정보 유출 피해자가 29만7117명으로 최종 확인됐다. 개인정보가 유출되는 동안에도 LG유플러스는 이를 실시간으로 감시하고 통제할 수 있는 자동화된 시스템이 없었던 것으로 파악됐다. 정부는 사고 재발 방지를 위해 ‘능동적 사이버 공격 추적체계'를 구축하는 등 사이버위기 예방·대응 체계 개편에 나서기로 했다.

과학기술정보통신부는 이같은 내용을 담은 ‘LG유플러스 침해사고 원인분석 결과 및 조치방안’을 발표했다.

앞서 과기정통부와 한국인터넷진흥원(KISA)는 LG유플러스의 고객정보 대량 유출을 중대한 침해사고로 판단, 지난 1월 11일부터 외부 전문가를 포함한 ‘민관합동조사단’을 운영해 왔다. 이후 이 조사단을 ‘특별조사점검단’으로 개편해 2월 6일부터 조사·점검을 수행했다.

점검단은 LG유플러스가 해커로부터 확보한 유출데이터 60만건 중에 동일인에 대한 중복 데이터를 제거, 총 29만6477명의 데이터를 확인했다. 이후 기존 60만건에 포함되지 않은 새로운 고객정보 1039명을 추가로 확인, 총 29만7117명의 고객정보가 유출된 것을 확인했다.

점검단은 유출 경로로 고객인증 DB(데이터베이스) 시스템을 지목했다. 2018년 6월 이후 LG유플러스의 고객인증 DB 시스템은 웹 관리자 계정 암호가 시스템 초기암호로 설정돼 있었는데, 관리자 계정으로 악성코드를 쉽게 설치할 수 있었다는 것이다. 관리자의 DB접근제어 등 인증체계 역시 미흡해 해커가 악성코드를 이용해 파일을 유출해 나갈 수 있었을 것으로 추정했다.

고객정보 등이 포함된 대용량 데이터가 외부로 유출되고 있음에도 LG유플러스에는 이를 실시간으로 감시하고 통제할 수 있는 자동화된 시스템이 없었던 것으로 조사됐다. 네트워크 내·외부 대용량 데이터 이동 등 이상 징후를 탐지하고 차단할 수 있는 실시간 감시체계가 부재했다. 또 시스템별 로그 저장 기준과 보관기간도 불규칙했다.

디도스 공격에도 속수 무책이었다. 앞서 LG유플러스 광대역데이터망의 주요 라우터(서로 다른 네트워크를 연결해주는 장치)에 대한 디도스 공격으로 지난1월과 2월 5회에 걸쳐 유선인터넷, VOD, 070전화 서비스에 장애가 발생한 바 있다.

공격자는 타 통신사와 연동구간(Internet eXchange)의 주요 네트워크 장비 14대(게이트웨이 3대·라우터 11대)를 대상으로 디도스 공격을 감행한 것으로 조사됐다. 이로 인해 라우터 장비에 다량의 비정상 패킷이 유입됐고 CPU 이용률이 대폭 상승해 시스템 장애가 일어났다.

타 통신사는 라우터 정보 노출을 최소화하고 있으나, LG유플러스는 디도스 공격 전에 약 68개 이상의 라우터가 외부에 노출돼 있었다. 일반적으로 접근제어 정책(ACL, Access Control List)을 통해 라우터 간 통신유형을 제한하지만, LG유플러스는 이러한 보안조치가 미흡했다. 또 네트워크 각 구간에 침입 탐지·차단 보안장비가 없었고 전사 IT 자원에 대한 통합 관리시스템도 부재한 것으로 확인됐다.

점검단은 LG유플러스의 잇따른 사고와 관련해 전문 보안인력 및 정보보호 투자 부족을 지적했다. 핵심 서비스와 내부정보 등을 보호하기 위한 전문인력이 부족하고, 정보보호 조직의 권한과 책임도 미흡했다는 얘기다. 특히 IT 및 정보보호 관련 조직이 여러 곳에 분산돼 있어 긴급 상황 발생 시 유기적인 대응 및 빠른 의사결정에 어려움이 있었던 것으로 판단했다. 

타 통신사 대비 보안투자가 상대적으로 저조한 것도 문제로 지적했다. 실제 과기정통부가 파악한 2022년 통신3사 정보보호 투자액을 보면 KT가 1021억원으로 가장 많았고 SK텔레콤이 860억원으로 그 다음이었다. LG유플러스는 292억원으로 투자가 가장 저조했다. 정보보호 인력도 KT와 SKT가 300명이 넘는 데 반해 LG유플러스는 91명에 불과했다.

과기정통부는 통신업계의 유사 사고 재발 방지를 위해 사이버위기 예방·대응 체계를 개편하고 관련 제도 개선을 추진키로 했다. 현재 개별 사이버위협 대응에 이용되는 기존의 탐지시스템을 ‘사이버위협통합탐지시스템’으로 통합 구축하고 사이버위협 고위험 대상시스템을 조기 탐지·식별하는 체계를 만들기로 했다.

또 국내 기업을 대상으로 활동하는 해커조직을 선별, 추적해 사이버공격이 발생하기 전에 수사기관 등과 공조해 대응할 수 있도록 하는 ‘능동적 사이버 공격 추적체계’를 도입키로 했다. 아울러 침해사고 사실을 알리지 않는 사업자들에 대해 과태료를 최대 2000만원까지 부과토록 법령 개정도 추진하기로 했다.

이종호 과기정통부 장관은 “기간통신사업자인 LG유플러스에 대한 조사·점검 결과 여러 가지 취약점이 확인됐으며, 이에 대해서는 LG유플러스에 책임있는 시정조치를 요구했다”며 “기간통신사업자는 침해사고가 국민 일상의 불편을 넘어 막대한 경제적 피해, 사회 전반의 마비 등을 야기할 수 있음을 엄중히 인식하고 사이버위협 예방 및 대응에 충분한 투자와 노력을 다함으로써 국민들의 안전한 디지털 서비스 이용을 보장해야 할 책무가 있다”라고 말했다.

이어 “정부도 날이 갈수록 다양해지고 확대되고 있는 지능적·조직적 사이버 위협에 대비하여 기존 정보보호 체계를 보다 실효성 높은 체계로 강화하여 국민들과 기업이 신뢰하는 안전한 디지털 서비스 강국을 구축해나가겠다”라고 덧붙였다.