|
이와 함께 올 초 발생한 대규모 디도스 공격은 내부 라우터 장비 외부 노출, 라우터 간 접근제어 정책 미흡, 주요 네트워크 구간에 보안장비 미설치 등으로 공격의 대상이 됐다는 분석이다.
과학기술정보통신부는 한국인터넷진흥원과 LG유플러스의 최근 사이버 침해사고 원인을 분석하고 LG유플러스의 전반적인 정보보호 침해 예방·대응체계를 점검한 내용을 27일 발표했다.
◇DB접근제어 등 인증체계 미흡해 해킹
과기정통부는 LG유플러스의 전체고객 DB와 고객인증 DB 등을 조사, 총 29만7117명의 고객 정보가 유출됐음을 확인했다. 다만 과기정통부는 이미지 파일만으로 해커가 추가적인 고객 데이터를 가지고 있다고 단정하기 어려우며 유출규모가 더욱 확대될 가능성도 배제할 수 없다고 봤다.
과기정통부 조사에 따르면 개인정보가 유출된 2018년 당시 고객인증 DB 시스템이 △웹 관리자 계정 암호가 시스템 초기암호로 설정돼 있었고 △시스템에 웹 취약점이 있어 해당 관리자 계정으로 악성코드를 설치할 수 있었으며 △관리자의 DB접근제어 등 인증체계가 미흡해 웹셸(원격공격)을 이용해 파일을 유출해 나갈 수 있었을 것으로 추정하고 있다.
과기정통부는 이번 개인정보 유출에 따른 스미싱이나 피싱 등에 대한 가능성은 있지만 불법로그인이나 유심(USIM) 복제 등의 피해는 없을 것으로 보고 있다.
불법로그인은 비밀번호가 암호화돼 있고, USIM 복제는 실제 USIM의 개인 키가 있어야 하므로 피해 발생 가능성은 낮을 것이라는 설명이다.
이와 함께 과기정통부는 LG유플러스의 분산서비스거부(DDoS·디도스) 공격에 대해서는 타 통신사와 달리 LG유플러스의 라우터(네트워크 연결 장치)가 더 많이 노출돼 있다는 점이 문제인 것으로 판단했다.
LG유플러스는 광대역데이터망의 주요 라우터에 대한 디도스 공격으로 지난 1월 29일과 2월4일, 5회에 걸쳐 총 120분간 LG유플러스의 유선인터넷과 VOD, 070전화 서비스에 장애가 발생했다.
과기정통부는 공격자가 네트워크를 구성하는 통신사의 라우터 장비를 대상으로 공격을 시도하여 네트워크 장애를 유발했다고 봤으며 LG유플러스의 68개 이상의 라우터가 외부에 노출, 공격자가 LG유플러스의 라우터를 특정하고 디도스 공격을 감행한 것으로 분석했다.
또한 과기정통부는 LG유플러스의 주요 라우터는 라우터 간 경로정보 갱신에 필수적인 통신 외에 신뢰할 수 없는 장비와도 통신이 가능한 상태로 운영돼 비정상 패킷 수신이 가능했다는 점도 문제로 손꼽았다. 일반적으로 접근제어 정책(ACL, Access Control List)을 통해 라우터 간 통신유형을 제한하나, LG유플러스는 이러한 보안조치가 미흡했다는 지적이다.
이와 함께 광대역데이터망에 라우터 보호를 위한 보안장비(IPS)가 설치돼 있지 않았는데, 이로 인해 내부로 인입되는 패킷의 비정상 여부 검증, 이에 따른 트래픽 제어 등이 불가능했던 것도 시스템 장애의 이유가 됐다.
◇정부, LG에 정보보호 투자·교육 확대 요구
과기정통부는 LG유플러스가 고객정보 등이 포함된 대용량 데이터가 외부로 유출될 때, 이러한 비정상 행위의 위험성을 실시간으로 감시하고 통제할 수 있는 자동화된 시스템이 없었던 것으로 보고 있다. 즉, 네트워크 내·외부 대용량 데이터 이동 등 이상 징후를 탐지하고 차단할 수 있는 실시간 감시체계가 부재하다는 것. 또한, 시스템별 로그 저장 기준과 보관기간도 불규칙하다고 판단했다.
이에 따라 현재 메일시스템에만 적용되어 있는 인공지능(AI) 기반 모니터링 체계를 고객정보처리시스템까지 대상을 확대해 사이버위협에 대해 실시간으로 감시할 수 있도록 개선하는 한편, IT 자산 중요도에 따른 로그정책과 중앙로그관리시스템을 수립·구축하고 주기적인 점검을 수행토록 했다.
또한 분기별로 1회 이상 모든 IT자산에 대한 보안 취약점을 점검하고 제거하고 침해사고 예방·대응·분석 등에 활용할 수 있는 IT자산 통합관리시스템을 도입해 시스템 관리체계를 개선토록 요구했다.
특히 과기정통부는 LG유플러스가 핵심 서비스와 내부정보 등을 보호하기 위한 전문인력이 부족하고, 정보보호 조직의 권한과 책임도 미흡하다고 판단하고 주요 보안인력을 타 통신사와 대등한 수준으로 보강하고, 정보보호책임자(CISOㆍCPO)를 CEO 직속 조직으로 강화할 것도 요구했다. 더불어, 정보보호 강화에 필요한 예산 규모를 타 통신사와 대등한 수준 이상으로 확대하되, 한시적인 투자 확대가 아닌 장기 계획에 따른 보완 투자가 진행될 수 있도록 했다.
또한 과기정통부는 LG유플러스가 해킹메일 발송 등 단순 모의훈련은 실시하고 있으나, 최근 사이버 위협에 따른 실전형 침투훈련이 부족하다고 보고 외부기관을 통해 최근 사이버 위협 기반의 공격 시나리오를 개발하고, 이에 맞는 맞춤형 모의훈련을 연 2회 이상 수행, 외부기관이 진행하는 모의 침투 훈련에도 참여해 평소 사이버위협 대응능력을 높이도록 했다.
◇침해 사고 알고도 신고 안 하면 과태료 2000만원 ‘상향’
과기정통부는 최근 더 다양해지고 확대되고 있는 지능적, 조직적인 사이버위협에 보다 선제적·체계적으로 대응하기 위해 기존 사이버위기 예방·대응 체계를 개편하는 한편, 관련 제도 개선을 추진할 계획이다.
과기정통부와 KISA는 사이버침해대응센터의 침해사고 탐지·분석 대응체계를 고도화해 나갈 계획이다. 잘 드러나지 않은 해킹위협 정보를 다양한 영역에서 수집하고, 정보 간 연계분석을 통해 사이버위협을 조기에 대응할 수 있는 체계를 마련한다.
이를 위해 현재 개별 사이버위협 대응에 이용하는 기존의 탐지시스템을 ‘사이버위협통합탐지시스템’으로 통합구축하고 위협정보 조회, 연관분석을 수행해 사이버위협 고위험 대상시스템을 조기 탐지·식별하는 체계를 갖출 계획이다.
사이버위협에 신속히 대응할 수 있도록 법·제도 개선도 추진한다.
과기정통부 및 KISA가 개별 기업의 침해사고를 보다 빠르게 파악할 수 있도록 과기정통부의 자료 제출요구에 대한 법령상 규정을 보다 명확히 할 계획이다.
침해사고 사실이 외부로 공개되는 경우의 불이익 때문에 신고하지 않으려는 사업자를 위해 신고 내용과 신고 자료의 보호 근거를 마련하고, 침해사고가 발생해도 신고하지 않은 자에 대해서는 과태료를 최대 2000만원까지 부과하도록 하여(기존 최대 1000만원) 사업자의 침해사고 신고의무를 보다 강화한다. 이에 더해, 사업자가 과기정통부의 침해사고 조치방안을 의무적으로 이행하도록 조치 이행점검 규정도 신설한다.
과기정통부는 또한 ‘제로트러스트’ 및 ‘공급망 보안’의 새로운 보안관리 체계가 자리 잡을 수 있도록 지원할 예정이다. ‘아무것도 신뢰하지 않는다’는 것을 전제로 사용자나 기기 접근을 항상 확인하고 최소한의 권한 부여로 시스템 내부에서의 자유로운 ‘횡적 이동’을 차단하는 제로트러스트 보안 모델을 기업 업무환경에 맞게 적용·실증하고, 효과성을 검증하는 시범 사업을 추진하여 우리 환경에 맞는 기본모델을 정립할 계획이다.
이종호 과기정통부 장관은 “기간통신사업자인 LG유플러스에 대한 조사·점검 결과 여러 가지 취약점이 확인되었으며, 이에 대해서는 LGU+에 책임있는 시정조치를 요구하였다”라며 “기간통신사업자는 침해사고가 국민 일상의 불편을 넘어 막대한 경제적 피해, 사회 전반의 마비 등을 야기할 수 있음을 엄중히 인식하고 사이버위협 예방 및 대응에 충분한 투자와 노력을 다함으로써 국민들의 안전한 디지털 서비스 이용을 보장해야 할 책무가 있다”고 말했다.