과기정통부, LG유플러스에 '재발방지 대책 마련·시정조치' 요구

[스마트에프엔=황성완 기자] 과학기술정보통신부(과기정통부)는 27일 광화문 정부서울청사에서 브리핑을 통해 한국인터넷진흥원(KISA)와 지난 1월 시작한 현장 조사 등을 통해 분석한 LG유플러스 정보 유출·접속 장애 사고 원인과 조치방안을 발표했다.

과기정통부에 따르면 지난 1월초부터 기간통신사업자인 LG유플러스를 대상으로 한 연이은 사이버공격으로 고객정보 유출, 유선인터넷 등 장애가 발생했고, 이로 인해 고객정보 도용 등 2차 피해에 대한 우려, 인터넷 서비스 중단에 따른 일상생활 지장 등 국민들의 피해가 발생하기도 했다.

과기정통부와 KISA는 LG유플러스의 고객정보 대량 유출을 중대한 침해사고로 판단해 지난 1월 11일부터 현장조사를 실시하고 원인분석과 재발방지 대책방안을 찾아내기 위해 디지털포렌식 등 외부 전문가를 포함한 ‘민관합동조사단’을 운영해 왔다.

과기정통부는 그러나 또다시 LG유플러스 정보통신망에 대한 분산서비스 거부 공격(DDoS, 디도스)으로 유선 인터넷 등 이용 일부 고객의 접속 장애가 반복히 발생해 보다 심층적으로 LG유플러스의 정보보호 예방 대응 체계를 점검할 필요가 있다고 판단하고, 기존 조사단을‘특별조사점검단’으로 개편해 2월 6일부터 조사·점검을 수행했다고 설명했다.

과기정통부는 '특별조사점검단'조사 결과인 'LGU+ 침해사고 원인분석 및 조치방안'에 따라 LG유플러스에 책임 있는 시정조치를 요구할 예정이다.

과기정통부, 유출데이터 내용 분석 및 출처 확인..."관리자 DB 접근 제어 등 인증체계 미흡"

과기정통부는 2014년 6월부터 2021년 8월까지 진행된 이 회사의 사용자 계정 통합 과정에서 전체 회원 데이터베이스(DB)나 해지 고객 DB에서는 정상적으로 삭제된 데이터가 작업 오류로 고객 인증 DB에 남아 있었고, 이들 정보가 유출된 데이터에 2만7000건이 포함됐다고 설명했다.

과기정통부는 정확한 유출 경로는 파악되지 않았지만, 고객 인증 시스템에서 암호나 데이터베이스(DB) 접근 제어가 미흡했고, 대용량 데이터 이동 등에 대한 실시간 탐지 체계가 없었던 것이 사고 원인으로 추정된다고 전했다. 이어 당시 고객인증 DB 시스템에서 웹 관리자 계정 암호가 시스템 초기 암호로 설정돼 있었고 관리자 계정으로 악성코드(웹셸)를 설치할 수 있었으며, 관리자의 DB 접근 제어 등 인증체계가 미흡했기 때문이라고 주장했다.

이종호 과기정통부 장관은 "기간통신사업자인 LG유플러스에 대한 조사·점검 결과 여러 가지 취약점이 확인됐으며 "기간통신사업자는 침해사고가 국민 일상의 불편을 넘어 막대한 경제적 피해, 사회 전반의 마비 등을 야기할 수 있음을 엄중히 인식하고 사이버위협 예방 및 대응에 충분한 투자와 노력을 다함으로써 국민들의 안전한 디지털 서비스 이용을 보장해야 할 책무가 있다"고 언급했다.

그러면서 "정부도 날이 갈수록 다양해지고 확대되고 있는 지능적·조직적 사이버 위협에 대비해 기존 정보보호 체계를 보다 실효성 높은 체계로 강화해 국민들과 기업이 신뢰하는 안전한 디지털 서비스 강국을 구축해나가겠다"고 밝혔다.

LG유플러스, 다시 한번 사과..."정부 시정 요구사항 최우선 수행할 것"

LG유플러스도 올해 초 발생한 정보유출과 인터넷 접속 오류에 대해 다시 한번 사과했다. LG유플러스는 사고 발생 시점부터, 사안을 심각하게 받아들이고 있으며 과기정통부의 원인 분석 결과에 따른 시정 요구사항을 전사적인 차원에서 최우선으로 수행할 예정이라고 밝혔다.

LG유플러스에 따르면 회사는 지난 2월 최고경영자(CEO) 직속의 사이버안전혁신추진단을 구성하고, △사이버 공격에 대한 자산 보호 △인프라 고도화를 통한 정보보호 강화 △개인정보 관리 체계 강화 △정보보호 수준 향상 등 4대 핵심 과제에 102개 세부 과제를 선정해 수행하고 있으며, 이를 위해 1000억 규모의 대규모 투자도 진행하고 있다.

LG유플러스는 사고 직후 개인정보 보호 및 디도스 방어를 위한 긴급 진단과 보안 장비(IPS, Intrusion Protection System) 및 솔루션 도입, 클라우드를 활용한 서비스의 긴급 점검, 접근제어 정책(ACL, Access Control List) 강화 등 즉시 개선이 가능한 부분들을 조치 완료했다. 또, IT 통합 자산관리 시스템, AI 첨단기술을 적용한 모니터링, 중앙 로그 관리 시스템, 통합관제센터 구축에 대한 세부 과제도 착수했다고 주장했다.

더불어, 화이트 해커 등 외부 전문가를 활용한 취약점 점검 및 기술적 예방활동 강화, AI기반 개인정보 탐지 시스템 구축, IT서비스 이상행위 모니터링 시스템 고도화를 위해 세부 과제를 수립하고 추진 중이다. 외부 전문가 그룹과도 협력해 현 보안 수준을 점검하고 향후 개선방향 도출을 위한 자체 진단도 진행하고 있다.

LG유플러스는 외부 전문가 그룹으로 구성된 정보보호자문위원회도 본격 가동하고, 회사 내 CISO, CPO 조직 개선과 전문 인력투자, 개인정보의 관리체계 개선, 미래보안기술 연구투자, USIM 무상 교체, 피해보상협의체 운영, 대학 및 교육기관과 연계된 사이버 보안 전문인력 육성 등도 함께 이행해 나가고 있다.

LG유플러스 관계자는 "새롭게 임명되는 CISO, CPO를 주축으로 개인정보를 비롯한 전사적인 정보보호 강화 활동을 지속할 예정"이라며 "진행상황은 단계별로 투명하게 공개하고, 종합적 보안 대책은 추후 상세히 설명하는 시간을 갖겠다"고 강조했다.

황성완 기자 skwsb@smartfn.co.kr