디도스 공격은 라우터 정보 유출 원인 추정
|
27일 과기정통부와 한국인터넷진흥원(KISA)은 LG유플러스 침해사고 원인분석 및 조치방안을 발표했다. 지난 1월부터 LG유플러스를 대상으로 지속된 사이버공격에 대한 최종 조사 결과, 중복 데이터를 제거한 유출 피해자는 총 29만6477명으로 확인됐다. 과기정통부 관계자는 "총 2000만 건의 정보 중 동일인에 대한 중복 데이터를 제거한 후 확인한 숫자"라며 "마지막 유출 시점은 2018년 6월 15일"이라고 했다.
특히 이중 2만7000건은 2014년 6월부터 2021년 8월까지 진행된 이 회사의 사용자 계정 통합 과정에서 작업 오류로 남아있던 고객 인증 DB도 포함됐다. 이 DB에는 해지 고객도 포함됐다.
과기부는 LG유플러스의 고객 인증 시스템에서 암호나 데이터베이스(DB) 접근 제어가 미흡했고, 대용량 데이터 이동 등에 대한 실시간 탐지 체계가 없었던 것이 사고 원인으로 추정했다. 당시 고객인증 DB 시스템에서 웹 관리자 계정 암호가 시스템 초기 암호로 설정돼 있었고 관리자 계정으로 악성코드(웹셸)를 설치할 수 있었으며, 관리자의 DB 접근 제어 등 인증체계가 미흡했기 때문이다.
홍진배 과기정통부 네트워크정책실장은 "유출 경로는 2018년 당시 시스템과 DB 접속 등에 대한 로그 정보가 의무 보존 관리 기간을 넘긴 탓에 거의 남아 있지 않아 로그 분석을 통한 조사에는 한계가 있었다"고 설명했다.
해킹 사이트에 LG유플러스 고객정보 2000만건을 6비트코인에 판매한다는 글을 올해 초 해킹 사이트에 올린 해커의 정체도 파악되지 않았다. 홍 네트워크정책실장은 "해커가 추가적인 고객 데이터를 가지고 있다고 단정하기는 어렵지만 유출 규모가 더 확대될 수 있는 가능성도 배제하기 어렵다"고 밝혔다.
다만 2차 피해 가능성에 대해서는 스미싱, 이메일 피싱은 가능성이 있고, 불법 로그인, 유심(USIM) 복제는 비밀번호 암호화 등 조치로 가능성이 작다고 판단했다.
또한 올해 1월 29일, 2월 4일 각각 63분과 57분에 걸쳐 유선인터넷, 주문형 비디오(VOD), 070 전화 서비스 접속 장애를 일으킨 디도스 공격은 내부 라우터 장비 외부 노출, 라우터 간 접근제어 정책 미흡, 주요 네트워크 구간 보안장비 미설치 등을 원인으로 지목했다.
과기정통부는 이들보안 사고의 원인으로 LG유플러스의 정보보호 투자가 타사 대비 현저히 떨어지는 점을 지목했다. 지난해 LG유플러스의 전체 정보통신 투자 대비 정보보호 투자액 비중은 3.7%로 KT 5.2%, SKT 3.9%보다 낮았다. 정보보호 인력도 KT 336명, SKT 305명에 비해 훨씬 적은 91명 수준이었다. 또한 LG유플러스에서 네트워크 구간마다 침입 탐지·차단 보안장비가 없었고 전사적인 정보기술(IT) 자원에 대한 통합 관리시스템도 부재했다고 봤다.
LG유플러스는 "올해초 발생한 정보유출과 인터넷 접속 오류로 인해 불안과 불편을 느꼈을 고객들께 다시 한번 사과드린다"며 "사고 발생 시점부터 사안을 심각하게 받아들이고 있으며 과기정통부의 원인 분석 결과에 따른 시정 요구사항을 전사적인 차원에서 최우선으로 수행하겠다"고 입장을 전했다.
LG유플러스는 지난 2월 CEO 직속의 사이버안전혁신추진단을 구성하고 △사이버 공격에 대한 자산 보호 △인프라 고도화를 통한 정보보호 강화 △개인정보 관리 체계 강화 △정보보호 수준 향상 등 4대 핵심 과제에 102개 세부 과제를 선정해 수행하고 있다. 이를 위한 1000억 규모의 대규모 투자도 진행하고 있다.
LG유플러스는 "사고 직후 개인정보 보호 및 디도스 방어를 위한 긴급 진단과 보안 장비(IPS) 및 솔루션 도입, 클라우드를 활용한 서비스의 긴급 점검, 접근제어 정책(ACL) 강화 등 즉시 개선이 가능한 부분들을 조치 완료했다"며 "IT 통합 자산관리 시스템, AI 첨단기술을 적용한 모니터링, 중앙 로그 관리 시스템, 통합관제센터 구축에 대한 세부 과제도 착수했다"고 설명했다.
