과학기술정보통신부(과기정통부)는 이 같은 내용을 포함한 'LG유플러스 침해사고 원인분석 및 조치방안'을 27일 발표했다.
과기정통부는 고객정보 유출 시점으로 요금제나 회원정보가 변경되면 변경시점으로 업데이트되는 '고객정보 변경시간'을 근거로 유출 시점을 파악한 결과 마지막 업데이트 시점인 2018년 6월 15일 오전 3시 58분 직후일 것으로 추정했다.
과기정통부는 16개 침해사고 시나리오를 마련하고 위협판단 기준에 따라 검증한 결과 2018년 당시 고객인증 데이터베이스(DB) 시스템의 취약점을 확인했다. 특히 관리자 암호가 시스템 초기암호로 설정돼있어 이 계정을 이용해 해커가 악성코드를 설치할 수 있었다. 또 관리자의 DB 접근제어 등 인증체계가 미흡해 해커가 파일을 유출할 수 있었던 것으로 보인다.
과기정통부는 이번에 유출된 개인정보로 스미싱이나 이메일 피싱, 불법 로그인 USIM 복제 등 2차 피해 가능성이 있을 것으로 보고 있다. 다만 불법 로그인은 비밀번호가 암호화돼있고 USIM 복제는 개인 키가 있어야 하므로 피해 가능성은 낮은 것으로 판단했다.
인터넷 장애를 가져온 디도스 공격은 LG유플러스만 유난히 68개 이상 라우터가 외부로 노출돼 있어 공격자가 포트 스캔을 통해 디도스 공격을 할 수 있었다고 과기정통부는 설명했다.
과기정통부에 따르면 공격자는 1월 29일 국내외 타 통신사와 연동구간의 주요 네트워크 장비 14대를 대상으로 디도스 공격을 했다. 이어 2월 4일에도 2회에 걸쳐 57분 동안 내부 가입자 망에서 엣지 라우터 320대를 대상으로 디도스 공격을 해 해당 지역에 인터넷 장애가 발생했다.
이 밖에 과기정통부는 LG유플러스의 주요 라우터가 신뢰할 수 없는 장비와도 통신이 가능한 상태로 운영됐고 비정상 패킷 수신이 가능한 것으로 파악했다. 이 때문에 LG유플러스의 보안조치가 미흡한 것으로 과기정통부는 판단했다.
과기정통부는 LG유플러스에 대해 △현재 메일링 시스템에만 적용돼있는 AI기반 모니터링 체계를 고객정보처리시스템까지 확대하고 △분기별로 1회 이상 모든 IT자산에 대한 보안 취약점을 점검한 뒤 통합관리시스템을 도입해 시스템 관리체계를 개선하도록 요구했다.
또 △보안인력을 타 통신사와 대등한 수준으로 보강하고 정보보호책임자를 CEO 직속으로 강화해 전문화된 보안조직을 구성하도록 요구했다. 예산 규모 타 통신사와 대등한 수준으로 확대하며 장기적인 보완 투자를 진행하도록 요구했다. △외부기관을 통해 사이버 위협 기반 공격 시나리오를 개발하고 맞춤 모의훈련을 연 2회 이상 수행하도록 요구했다.
한편 황현식 LG유플러스 대표는 올해 초 개인정보 유출과 인터넷 서비스 장애에 대해 사과하며 정보보호 예산을 기존의 3배 수준인 1000억원으로 확대하기로 했다. 또 전사정보보호·개인정보보호책임자(CISO·CPO)를 CEO 직속으로 강화하고 각 영역별 보안 전문가를 영입해 역량을 강화하기로 했다.
이 밖에 보안컨설팅기업과 전문기관, 학계에 종사하는 외부 전문가들로 구성된 정보보호위원회를 운영하고 보안기술과 관리체계를 점검한다. 이와 함께 세계 최고 수준의 화이트해킹 대회, 침투방어훈련을 수행하며 보안 취약점을 점검한다.
여용준 글로벌이코노믹 기자 dd0930@g-enews.com
![[초점] 전기차 배터리팩 평균 수명 ‘20년’…전기차 평균 차령 크게 앞서](https://nimage.g-enews.com/phpwas/restmb_setimgmake.php?w=184&h=118&m=1&simg=20240920103235048589a1f3094311109215171.jpg)
