|
LG유플러스의 취약한 시스템 때문에 29만 명이 넘는 고객의 정보가 해커 손에 넘어간 것으로 조사됐다. 고객 인증 데이터베이스(DB)의 암호가 ‘어드민(admin·관리자)’으로 초기에 설정한 그대로 운영되는 등 보안 취약점이 많았다는 지적이다.
과학기술정보통신부는 한국인터넷진흥원(KISA)과 LG유플러스의 사이버 침해사고 원인을 조사해 27일 발표했다.
◇정보 유출된 ‘고객인증DB’ 보안 취약
정부가 지난 1월1일 해커가 판매한다고 올린 LG유플러스의 고객 명단 등을 분석한 결과, 해당 고객 정보는 ‘고객인증DB’에서 유출됐을 가능성이 크다.
유출 규모는 LG유플러스가 확보한 60만 건 중 동일인 등 중복을 제거하고 웹사이트 등에 게재된 정보 등을 추가하면 약 29만 7117명이다.
과기정통부는 관련 시스템 로그가 없어 정확한 파악은 어려우나 유출 데이터의 마지막 업데이트가 지난 2018년 6월 15일 03시58분인 점을 고려, 해당 시점 직후 유출 파일이 생성됐을 것으로 추정했다. 또, LG유플러스의 당시 고객인증 DB 시스템에 여러 취약점이 있음을 확인했다. 웹 관리자 계정 암호가 시스템 초기암호로 설정돼 있고, 시스템에 웹 취약점도 있어 해커가 악성코드를 설치하기 쉬웠다는 것이다. 관리자의 DB 접근제어 같은 인증체계도 미흡해 해커가 악성코드를 이용해 파일을 빼내기 쉬웠을 것으로 정부는 판단했다.
◇라우터 등 장비 보안 미흡…디도스 공격 대상
LG유플러스는 라우터 같은 네트워크 장비에 대한 보안도 취약해 대규모 디도스(분산서비스거부공격, DDoS)에도 노출됐다.
지난 1월 29일부터 2월 4일까지 총 5차례에 걸쳐 LG유플러스 유선 인터넷망에 대한 디도스 공격이 진행됐으며 이 때문에 인터넷 장애가 발생해 사용자들의 피해가 이어졌다.
과기정통부는 LG유플러스는 다른 통신사들과 달리 라우터를 외부에 노출했기 때문으로 분석했다. 약 68개 이상의 라우터가 외부에 노출, 공격자가 스캔을 통해 이를 인지하고 공격을 감행했다는 설명이다.
또한 LG유플러스의 라우터는 신뢰할 수 없는 장비와도 통신이 가능한 상태로 운영되고, 라우터 보호를 위한 보안장비(침입방지시스템·IPS)도 설치돼 있지 않은 등 보안조치도 미흡했던 것으로 드러났다.
◇타사 수준 보안 투자 요구…LG U+ “뼈를 깎는 성찰 통해 거듭나겠다”
정부는 LG유플러스에 보안 시스템, 대응체계를 강화하는 내용의 시정조치를 요구했다. 보안 장비를 업그레이드하고 전문 보안인력을 꾸리라는 게 골자다. LG유플러스의 보안 관련 투자가 타 통신사 대비 저조하다는 점도 지적했다.
이에 대해 LG유플러스는 “1000억원 규모의 관련 투자를 진행하는 등 정부의 시정조치 요구를 최우선 과제로 수행하겠다”면서 “뼈를 깎는 성찰로 고객들에게 더 신뢰를 주는 회사로 거듭나겠다”는 입장을 밝혔다.
과기정통부는 사업자들이 해킹 등 침해 사실을 알고도 신고하지 않는 사례가 없도록 관련 과태료를 1000만원에서 2000만원으로 상향하는법·제도 개선에도 나서기로 했다.
고객 개인정보 유출과 디도스 공격의 원인에 대한 조사는 끝났지만, LG유플러스로서는 넘어야 할 산이 있다. 개인정보보호위원회가 LG유플러스의 개인정보보호법 위반 여부 등을 조사 중이기 때문이다.
LG유플러스가 개인정보 유출을 인지하고 이를 고객에게 바로 알렸는지 등이 쟁점이다. KISA 등이 LG유플러스에 해커의 정보 판매 사실을 알린 것은 1월2일이며 LG유플러스가 고객 등에게 이를 공지한 것은 1월10일이다. 일부러 늑장 공지했다고 판단되면 과징금 규모가 커질 가능성도 있다. 홍진배 과기정통부 네트워크정책실장은 “개인정보위에서 고객 통지의 적정성에 대해 별도 조사 중인 것으로 안다”고 했다.