올해 초 개인정보 유출과 분산서비스거부(디도스) 공격을 받았던 LG유플러스가 사과와 함께 개선 의지를 드러냈다. 과학기술정보통신부와 한국인터넷진흥원(KISA)이 침해사고 조사 결과를 발표한 이후 재차 고개를 숙인 모습이다.

27일 과기정통부와 KISA는 정부서울청사에서 브리핑을 열고 LG유플러스 침해사고 원인분석 결과 및 조치방안 등을 발표했다. 보안사고를 야기한 주요 원인으로는 저조한 보안 투자와 시스템, 관리 부실이 꼽혔다.

미흡한 보안투자가 불러온 사고

고객 개인정보 유출 원인으로는 '초기 암호'로 방치된 데이터베이스(DB) 관리자 계정과 접근제어 시스템 미비 등이 꼽혔다. 조사 결과에 따르면 LG유플러스 전체 고객정보를 저장하는 시스템은 ▲전체회원DB ▲고객인증DB ▲해지고객DB 등 3개 시스템이다.

유출 경로로 추정되는 부분은 고객인증 DB 시스템에 대한 관리자 계정이다. 당시 이 시스템은 웹 관리자 계정 암호가 시스템 초기 상태로 설정돼있었다. 뿐만 아니라 시스템 내에 웹 취약점이 존재해 해당 관리자 게정으로 악성코드를 설치할 수 있는 상태였다. 뿐만 아니라 DB 접근제어 시스템 등 인증체계가 미흡한 점도 발견됐다.

디도스 공격 원인 유사하다. 정부는 해당 보안사고 원인으로 라우터 정보 노출 및 핵심 장비, 시스템 미비를 지목했다. 라우터 정보를 최대한 숨기는 타사와는 달리, 공격 당시 약 68개 이상 라우터 정보가 외부에 노출돼있었다는 것이다. 뿐만 아니라 LG유플러스 코어 라우터들은 외부에 개방돼있어 신뢰할 수 없는 장비와 통신하거나 비정상 패킷 수신이 가능한 상태였다. 또 광대역데이터망에 라우터를 보호하기 위한 침입방지시스템(IPS)도 설치돼있지 않았던 것으로 분석됐다.

과기정통부는 LG유플러스에 시정조치를 요구했다. 기술적 조치 방안으로는 ▲분기별 보안 취약점 점검 및 제거 ▲실시간 모니터링 체계 및 IT자산 통합 관리 시스템 개발, 구축 ▲보안장비 구축 및 점검 등을 지시했다. 관리적 조치 사항으로는 ▲정보보호 인력 및 예산 타사 수준으로 확대 ▲CEO 직속 정보보호 조직 구성 ▲맞춤형 모의훈련 및 C레벨 포함 보안 필수 교육 등을 당부했다.

이종호 과기정통부 장관은 "기간통신사업자는 침해사고가 국민 일상의 불편을 넘어 막대한 경제적 피해, 사회 전반 마비 등을 야기할 수 있음을 엄중히 인식하고, 사이버위협 예방 및 대응에 충분한 투자와 노력을 다함으로써 안전한 디지털 서비스 이용을 보장해야 할 책무가 있다"며 "정부도 날이 갈수록 다양해지고 확대되고 있는 지능적·조직적 사이버 위협에 대비해 기존 정보보호 체계를 보다 실효성 높게 강화해 국민들과 기업이 신뢰하는 안전한 디지털 서비스 강국을 구축해나가겠다"고 말했다.

'분골쇄신' 약속한 LG유플러스

정부 발표 이후 LG유플러스는 사과문을 통해 '분골쇄신'하겠다는 뜻을 내비쳤다. 

27일 LG유플러스는 사과문을 통해 "올해 초 발생한 정보유출과 인터넷 접속 오류로 인해 불안과 불편을 느끼셨을 고객분들께 다시 한번 사과드린다"며 "사고 발생 시점부터 사안을 심각하게 받아들이고 있으며, 과학기술정보통신부 원인 분석 결과에 따른 시정 요구사항을 전사적 차원에서 최우선으로 수행할 예정"이라고 강조했다.

실제로 현재 LG유플러스는 전사적으로 다양한 노력을 기울이고 있다. 지난 2월에는 최고경영자(CEO) 직속 사이버안전혁신추진단을 구성하고 ▲사이버 공격에 대한 자산 보호 ▲인프라 고도화를 통한 정보보호 강화 ▲개인정보 관리 체계 강화 ▲정보보호 수준 향상 등 4대 핵심 과제, 102개 세부 과제를 선정해 수행 중이다. 황현식 대표가 약속한 1000억 규모 투자도 진행하고 있다.

사고에 대한 조치도 대거 이뤄졌다. LG유플러스는 개인정보 보호 및 디도스 방어를 위한 긴급 진단과 침입방지시스템(IPS) 등 보안 장비 및 솔루션 도입, 클라우드를 활용한 서비스 긴급 점검, 접근제어 정책(ACL, Access Control List) 강화 등 즉시 개선이 가능한 부분들을 조치했다. IT 통합 자산관리 시스템, 인공지능(AI)를 적용한 모니터링, 중앙 로그 관리 시스템, 통합관제센터 구축에 대한 세부 과제도 착수한 상태다.

또 화이트 해커 등 외부 전문가를 활용한 취약점 점검 및 기술적 예방활동 강화, AI기반 개인정보 탐지 시스템 구축, IT서비스 이상행위 모니터링 시스템 고도화를 위해 세부 과제를 수립하고 추진 중이다. 외부 전문가 그룹과 협력해 현 보안 수준을 점검하고 향후 개선방향 도출을 위한 자체 진단도 진행하고 있다.

아울러 외부 전문가 그룹으로 구성된 정보보호자문위원회를 본격 가동하고, 회사 내 최고정보보호책임자(CISO), 개인정보보호책임자(CPO) 조직 개선과 전문 인력투자, 개인정보의 관리체계 개선, 미래보안기술 연구투자, 유심 무상 교체, 피해보상협의체 운영, 대학 및 교육기관과 연계된 사이버 보안 전문인력 육성 등도 함께 진행 중이다.

LG유플러스는 새롭게 임명되는 CISO, CPO를 주축으로 전사적 정보보호 강화 활동을 지속할 예정이다. 현재 채용을 진행 중이며, 자격요건은 ICT 분야 근무 경력 20년 이상, 업무 경력 10년 이상 등이다. 진행상황은 단계별로 투명하게 공개한다. 종합적 보안 대책은 추후 상세히 설명할 예정이다.

LG유플러스 측은 "그동안 외부에서 주신 다양한 염려와 의견을 충분히 반영하고, 뼈를 깎는 성찰로 고객들에게 더 깊은 신뢰를 주는, 보안, 품질에 있어 가장 강한 회사로 거듭나겠다"며 "다시 한번 진심으로 사과드린다"고 말했다.

김가은 기자 7rsilver@techm.kr