'해킹취약' LG U+... "시정요구 시행, 환골탈태하겠다"
2023.04.27 16:25
수정 : 2023.04.27 16:37기사원문
[파이낸셜뉴스] 올해 초 발생한 LG유플러스의 30만 고객의 개인정보 유출과 디도스(분산 서비스 거부·DDoS) 공격으로 유선인터넷 장애 원인이 미흡한 고객정보 데이터베이스(DB) 및 통신장비 관리 체계에서부터 시작된 것으로 파악됐다. 개인정보 유출 경로로 추정되는 고객인증 DB 시스템의 경우, 관리자 계정 암호가 시스템 초기 암호로 설정돼 있었고, 통상적으로 외부에 노출되지 않는 라우터 정보도 대규모로 외부에 노출되면서 디도스 공격 등 해킹에 취약한 상태였다.
이에 정부는 LG유플러스에 정보보호 부문 관리 강화 등 시정조치를 요구했다.
■고객DB·라우터 무방비 노출
과학기술정보통신부와 한국인터넷진흥원(KISA)은 27일 'LG유플러스 침해사고 원인분석 및 조치방안'을 발표했다.
개인정보 유출의 주요 경로는 고객인증 DB인 것으로 파악됐다. 현재까지 정부가 파악한 총 유출 규모는 29만7117명의 고객 정보다. 유출 시점은 약 5년 전인 지난 2018년 6월경으로 파악된다. 당시 고객인증 DB 시스템은 웹 관리자 계정 암호가 시스템 초기 암호로 설정돼 있었다. 이외에도 시스템에 웹취약점, 관리자의 DB접근제어 등 인증체계가 미흡해 해커가 침투하기 좋게 DB 시스템이 설정돼 있었다는 설명이다.
디도스 공격도 LG유플러스의 취약한 정보 관리 체계가 발단이 된 것으로 정부는 분석했다.
해커는 LG유플러스 라우터 장비를 대상으로 공격을 진행했는데, LG유플러스는 디도스 공격 전 약 68개 이상의 라우터가 외부에 노출됐다. 통상적으로 라우터 정보는 외부에 알려지지 않는다. 이외에도 LG유플러스의 주요 라우터는 신뢰할 수 없는 장비와도 통신이 가능한 형태로 운영됐고, 미흡한 접근제어 정책(ACL) 등으로 디도스 공격 빌미를 제공했다는 분석이다. 광대역데이터망에 라우터 보호를 위한 보안장비(IPS)가 미비한 점도 비정상 여부 검증, 트래픽 제어 등을 불가능하게 했다.
과기정통부와 KISA는 이번 사태와 관련해 LG유플러스의 비정상 행위 대응체계 부재, 시스템 자산 보호·관리 미흡, 보안인력·정보보호 부문 투자 부족, 보안인식 제고 방안·실천 체계 등을 문제점으로 지적하고 보완을 주문했다. 개인정보보호위원회는 LG유플러스의 개인정보보호법 위반 여부를 들여다본다.
■LGU+"시정요구 최우선 수행"
정부 발표후 LG유플러스는 재차 사과하면서 정부 시정 요구를 최우선 수행하겠다고 밝혔다.
사고 이후 LG유플러스는 2월 최고경영자(CEO) 직속의 사이버안전혁신추진단을 구성했다. 추진단은 사이버 공격에 대한 자산 보호, 인프라 고도화를 통한 정보보호 강화, 개인정보 관리 체계 강화, 정보보호 수준 향상 등 4대 핵심 과제와 102개 세부 과제를 선정했다. 올해엔 1000억원 규모의 정보보호 부문 투자도 예고한 상태다.
아울러 새로 임명하는 최고정보보호책임자(CISO), 최고개인정보보호책임자(CPO)를 중심으로 전문 인력 투자, 관리 체계 개선, 미래보안기술 연구투자 등 정보보호 강화 활동을 지속할 예정이다. 피해 고객 보상안은 현재 운영 중인 피해보상협의체에서 논의한 후 추후 발표한다는 입장이다.
LG유플러스 관계자는 "그동안 외부에서 주신 다양한 염려와 의견을 충분히 반영하고 뼈를 깎는 성찰로 고객들에게 더 깊은 신뢰를 주는, 보안·품질에 있어 가장 강한 회사로 거듭나겠다"고 전했다. jhyuk@fnnews.com 김준혁 기자