정부가 올해 초 발생한 LG유플러스 보안사고 원인으로 정보보호 시스템 및 관리 미흡을 꼽았다. 중요 시스템 내에서 취약점이 다수 발견된 것은 물론, 관리자 계정 비밀번호 등 핵심 정보에 대한 관리가 제대로 되지 않았다는 지적이다.

27일 과학기술정보통신부와 한국인터넷진흥원(KISA)는 광화문 정부서울청사에서 개인정보 유출, 분산서비스거부(DDos) 공격 등 LG유플러스에서 발생한 사이버 침해사고 원인분석 및 조치방안을 발표했다.

'초기 암호'로 방치된 관리자 계정

올해 1월 LG유플러스는 약 18만명에 달하는 고객 개인정보가 유출됐다고 밝혔다. 이후 추가적으로 11만건이 더해져 약 29만건으로 규모가 확대됐다. 과기정통부와 개인정보보호위원회 또한 29만7117명 정보가 유출됐다고 밝혔다.

이같은 유출사고는 고객 정보를 저장하는 데이터베이스(DB) 관리자 계정이 방치돼 발생한 것으로 나타났다. 조사 결과에 따르면 LG유플러스 전체 고객정보를 저장하는 시스템은 ▲전체회원DB ▲고객인증DB ▲해지고객DB 등 3개 시스템이다.

합동조사단이 해커로부터 확보한 유출데이터와 이 시스템들을 대조한 결과, 내용이 일치하거나 가장 비슷한 시스템은 '고객인증DB' 였다. 유출 시점으로는 약 5년 전인 2018년 6월 15일이 지목됐다. 마지막 데이터 업데이트가 이뤄진 시점이다.

유출 경로로 추정되는 부분은 고객인증 DB 시스템에 대한 관리자 계정이다. 당시 이 시스템은 웹 관리자 계정 암호가 시스템 초기 상태로 설정돼있었다. 뿐만 아니라 시스템 내에 웹 취약점이 존재해 해당 관리자 게정으로 악성코드를 설치할 수 있는 상태였다. 뿐만 아니라 DB 접근제어 시스템 등 인증체계가 미흡한 점도 발견됐다.

유출 규모의 경우 공격자로부터 확보한 60만건 중 중복 데이터를 제거해 29만6477명에 대한 정보를 확인했다. 또 공격자가 웹사이트에 올린 유출정보 이미지를 분석해 1000명가량이 추가로 확인됐다. 고객정보 유출에 따른 2차 피해로는 스미싱, 이메일, 피싱, 불법로그인, 유심(USIM) 복제 등이 있다.

향후 유출규모가 확대될 가능성도 있다. 공격자가 공개한 데이터만을 기반으로 분석된 결과기 때문이다. 앞서 공격자는 LG유플러스와 정부가 밝힌 29만건이 아닌 3000만건에 달하는 유출 데이터를 확보하고 있다고 주장한 바 있다.

홍진배 과기정통부 네트워크정책실장은 "해커가 추가적 고객 데이터를 갖고 있다고 단정하기 어렵지만, 유출 규모가 더욱 확대될 가능성도 열어두고 예의주시하고 있다"고 강조했다.

외부에 핵심 정보 노출, IPS 장비 미흡

유선 통신망 장애를 초래한 디도스 공격 원인도 공개됐다. 앞서 LG유플러스는 지난 1월 29일 세 차례에 걸쳐 63분, 2월 4일 두 차례에 걸쳐 57분간 장애를 겪었다.

이는 5차례 행해진 디도스 공격에 의한 결과다. 1차 공격은 LG유플러스와 국내외 통신사 간 연동구간 내 네트워크 장비 14대(게이트웨이 3대, 라우터 11대)를 대상으로 발생했다. 

이 때문에 전국 대부분 유선 인터넷과 VOD, 070전화 서비스에 장애가 발생했다. 2차 공격은 내부 가입자망에서 일부 지역 사용자단에 있는 엣지 라우터 약 320대에 감행됐다. 3차부터는 보안조치가 이뤄져 별다른 피해가 없었다.

원인으로는 라우터 정보 노출 및 핵심 장비, 시스템 미비가 지목됐다. 라우터 정보를 최대한 숨기는 타 통신사와 달리, LG유플러스는 공격을 받을 당시 약 68개 이상 라우터 정보가 외부에 노출돼있었다. 합동조사단은 공격자가 이같은 정보를 사용해 디도스 공격을 단행한 것으로 보고 있다. 

뿐만 아니라 LG유플러스 코어 라우터들은 외부에 개방돼있어 신뢰할 수 없는 장비와 통신하거나 비정상 패킷 수신이 가능한 상태였다. 또 광대역데이터망에 라우터를 보호하기 위한 침입방지시스템(IPS)도 설치돼있지 않았던 것으로 분석됐다.

시정조치 요구, 법제도 개선으로 재발 방지

정부는 먼저 LG유플러스 측에 시정조치를 요구했다. 

기술적 조치 방안으로는 ▲분기별 보안 취약점 점검 및 제거 ▲실시간 모니터링 체계 및 IT자산 통합 관리 시스템 개발, 구축 ▲보안장비 구축 및 점검 등을 지시했다. 관리적 조치 사항으로는 ▲정보보호 인력 및 예산 타사 수준으로 확대 ▲CEO 직속 정보보호 조직 구성 ▲맞춤형 모의훈련 및 C레벨 포함 보안 필수 교육 등을 당부했다.

법제도 개선을 통한 재발 방지도 추진한다. 과기정통부와 KISA는 사이버침해대응센터 내 침해사고 탐지 및 분석 대응체계를 고도화할 예정이다. 드러나지 않은 해킹 위협 정보를 수집하고 정보 간 연계분석을 통해 조기 대응 체계를 마련한다는 청사진이다. 이를 위해 현재 개별 사이버 위협 대응에 이용되는 기존 탐지시스템을 '사이버 위협통합탐지시스템'으로 통합 구축한다. 또 위협 정보 조회, 연관분석을 통해 고위험 대상시스템을 조기 탐지, 식별한다는 계획이다.

공격자에 대한 추적 체계도 마련된다. 국내 기업을 대상으로 활동하는 공격조직을 선별, 추적해 실제 공격이 발생하기 전 수사기관 등과 대응하는 '능동형 사이버 공격 추적 체계'를 도입한다는 방침이다. 주요 공격 전략과 기술을 수집해 예상 공격을 관찰 및 대응하는 억지체계도 내년에 구축한다.

침해사고 사실이 외부로 공개되는 경우 불이익을 우려해 신고하지 않으려는 사업자들에게는 '당근과 채찍'을 동시에 마련한다. 신고 내용과 자료의 보호 근거를 마련함과 동시에 침해사고를 신고하지 않은 자에 대해 과태로 최대 2000만원을 부과하도록 해 의무를 강화할 예정이다.

과기정통부가 권고하는 조치 방안을 의무적으로 이행하도록 조치 이행 점검 규정도 신설한다. 이외에도 과기정통부는 끊임없는 인증과 접근제어로 보안성을 높이는 '제로트러스트 아키텍쳐' 및 공급망 보안 등 신규 보안관리 체계가 자리잡도록 지원할 예정이다.

이종호 과기정통부 장관은 "기간통신사업자는 침해사고가 국민 일상의 불편을 넘어 막대한 경제적 피해, 사회 전반 마비 등을 야기할 수 있음을 엄중히 인식하고, 사이버위협 예방 및 대응에 충분한 투자와 노력을 다함으로써 안전한 디지털 서비스 이용을 보장해야 할 책무가 있다"며 "정부도 날이 갈수록 다양해지고 확대되고 있는 지능적·조직적 사이버 위협에 대비해 기존 정보보호 체계를 보다 실효성 높게 강화해 국민들과 기업이 신뢰하는 안전한 디지털 서비스 강국을 구축해나가겠다"고 말했다.

김가은 기자 7rsilver@techm.kr