정부가 최근 발생한 LG유플러스 사이버 침해사고 원인을 분석하고 관련 조치사항을 발표했다. 과기정통부는 LG유플러스에 분기별 보안 취약점 점검·제거, 실시간 모니터링 체계 및 IT자산 통합 관리 시스템 개발·구축, 보안장비(IPS 등) 구축·점검 등을 주문했다. 또 정보보호 인력·예산을 타사 수준까지 확대하고 CEO 직속 정보보호 조직 구성, 맞춤형 모의훈련 및 C레벨 포함 보안 필수교육을 시행할 것을 권고했다.

LG유플러스 주요 고객정보 처리시스템 개요도/ 과기정통부
LG유플러스 주요 고객정보 처리시스템 개요도/ 과기정통부
과학기술정보통신부(과기정통부)와 한국인터넷진흥원 (KISA)은 LG유플러스의 최근 사이버 침해사고 원인을 분석하고 LG유플러스의 전반적인 정보보호 침해 예방·대응체계를 점검해 관련 조치사항을 담은 ‘LGU+ 침해사고 원인분석 및 조치방안’을 27일 발표했다.

정부, LGU+ 사이버공격 ‘중대한 침해사고’…재발방지 대책 발표

1월초부터 기간통신사업자인 LG유플러스를 대상으로 한 연이은 사이버공격이 발생했다. 고객정보가 유출되고 유선인터넷 장애가 발생했다. 이로 인해 고객정보 도용 등 2차 피해에 대한 우려와 인터넷 서비스 중단에 따른 일상생활 지장 등 국민들의 피해가 발생하기도 했다.

과기정통부와 KISA는 LG유플러스의 고객정보 대량 유출을 중대한 침해사고로 판단해 1월 11일부터 현장조사를 실시했다. 원인분석과 재발방지 대책방안을 찾아내기 위해 디지털포렌식 등 외부 전문가를 포함한 ‘민관합동조사단’을 운영해 왔다. 하지만 또다시 LG유플러스 정보통신망에 대한 분산서비스 거부 공격(디도스)으로 유선 인터넷 등 이용 일부 고객의 접속 장애가 반복 발생했다.

정부는 보다 심층적으로 LG유플러스의 정보보호 예방 대응 체계를 점검할 필요가 있다고 판단했다. 기존 조사단을 ‘특별조사점검단’으로 개편해 2월 6일부터 조사·점검을 수행했다.

특별조사점검단은 유출데이터가 LG유플러스 어느 시스템에서 유출된 것인지 파악하기 위해 LG유플러스의 내부 고객정보 처리 시스템(120대 이상)을 분석했다.

과기정통부가 분석한 LG유플러스 고객인증 시스템을 통한 유출 경로 시나리오/ 과기정통부
과기정통부가 분석한 LG유플러스 고객인증 시스템을 통한 유출 경로 시나리오/ 과기정통부
해당 시스템 중 가장 많은 고객정보를 저장·처리하는 시스템은 ▲전체 고객정보를 보관하는 ‘전체회원 DB’ ▲부가 서비스에 대한 인증 기능을 수행하는 ‘고객인증 DB’ ▲회원 탈퇴 시 향후 소비자 분쟁을 고려해 고객정보를 별도 보관하는 ‘해지고객 DB’ 등 총 3개 시스템이다.

이 중 고객인증DB 시스템에서 이번 고객정보 유출이 다수 이뤄진 것으로 확인됐다.

2014년 6월부터 2021년 8월까지 진행된 LG유플러스 사용자 계정 통합 과정에서, 전체회원 DB·해지고객 DB에는 정상적으로 삭제된 데이터가 작업 오류로 ‘고객인증 DB’에 남아있었다. 유출데이터에 해당 고객정보 2만 7000건도 포함돼 있었던 것도 확인할 수 있었다.

또 정보 유출 시점은 파일 유출 시점은 관련 시스템의 로그가 남아있지 않아 특정하기 어려우나, 유출데이터의 마지막 업데이트는 2018년 6월 15일 03시58분으로 해당 시점 직후 유출 파일이 생성된 것으로 추정된다.

스미싱·유심 복제 등 2차 피해는 ‘가능성 낮아’

고객정보 유출로 인해 추가적으로 발생할 수 있는 2차 피해는 ▲스미싱 ▲이메일 피싱 ▲불법로그인 ▲유심(USIM) 복제 등이 있다. 이 중 불법로그인은 비밀번호가 암호화돼 있고, 유심 복제는 실제 유심의 개인키가 있어야 하므로 피해 발생 가능성은 낮은 것으로 판단된다.

고객 정보 유출뿐 아니라 광대역데이터망의 주요 라우터에 대한 디도스 공격으로 1월 29일과 2월 4일 5회에 걸쳐 총 120분 간 LG유플러스의 유선인터넷, VOD, 070전화 서비스에 장애가 발생했다.

공격자는 네트워크를 구성하는 통신사의 라우터 장비를 대상으로 공격을 시도해 네트워크 장애를 유발시켰다.

타 통신사는 라우터 정보 노출을 최소화하고 있으나, LG유플러스는 디도스 공격 전에 68개 이상의 라우터가 외부에 노출되어 있었다. 정부는 공격자가 포트 스캔을 통해 LG유플러스 라우터를 특정하고 노출된 포트를 대상으로 디도스 공격을 감행한 것으로 분석했다.

디도스 공격으로 인한 피해현황/ 과기정통부
디도스 공격으로 인한 피해현황/ 과기정통부
또 LG유플러스의 주요 라우터는 라우터 간 경로정보 갱신에 필수적인 통신 외에 신뢰할 수 없는 장비와도 통신이 가능한 상태로 운영돼 비정상 패킷 수신이 가능했다. 일반적으로 접근제어 정책(ACL)을 통해 라우터 간 통신유형을 제한하지만 LG유플러스는 이러한 보안조치가 미흡했다고 정부는 판단했다.

이외에도 광대역데이터망에 라우터 보호를 위한 보안장비(IPS)가 설치되어 있지 않았던 점도 디도스 공격으로 인한 시스템 장애 원인으로 꼽힌다. 이로 인해 내부로 인입되는 패킷의 비정상 여부 검증, 이에 따른 트래픽 제어 등이 불가능했다는 것이다.

정부, LGU+에 ‘사이버위협 실시간 감시·보안인력 보강’ 등 주문

LG유플러스는 현재 LG유플러스의 메일시스템에만 적용되어 있는 AI 기반 모니터링 체계를 고객정보처리시스템까지 대상을 확대해 사이버위협에 대해 실시간으로 감시할 수 있도록 개선할 방침이다. 이와함께 정부는 IT 자산 중요도에 따른 로그정책과 중앙로그관리시스템을 수립·구축하고 주기적인 점검도 수행토록 했다.

정부는 LG유플러스에 분기별로 1회 이상 모든 IT자산에 대한 보안 취약점을 점검하고 제거해야 한다고 권고했다. 나아가 침해사고 예방·대응·분석 등에 활용할 수 있는 IT자산 통합관리시스템을 도입해 시스템 관리체계를 개선토록 요구했다.

또 앞으로 LG유플러스는 주요 보안인력을 타 통신사와 대등한 수준으로 보강하고, 정보보호책임자(CISO·CPO)를 CEO 직속 조직으로 강화해 보다 전문화된 보안조직 체계를 구성해야 한다.

이와 함께 정부는 LG유플러스에 정보보호 강화에 필요한 예산 규모를 타 통신사와 대등한 수준 이상으로 확대하되, 한시적인 투자 확대가 아닌 장기 계획에 따른 보완 투자가 진행될 수 있도록 요구했다.

정부는 LG유플러스에 외부기관을 통해 최근 사이버 위협 기반의 공격 시나리오를 개발하고, 이에 맞는 맞춤형 모의훈련을 연 2회 이상 수행, 외부기관이 진행하는 모의 침투 훈련에도 참여하여 평소 사이버위협 대응능력을 제고하라고 전했다.

LG유플러스는 C레벨을 포함한 임직원 대상으로 보안에 대한 경각심이 제고될 수 있도록 보안교육을 연 2회 이상 실시하고, 실무를 반영한 보안매뉴얼을 개발·관리해야 한다.

과기정통부는 최근 더 다양해지고 확대되고 있는 지능적, 조직적인 사이버위협에 보다 선제적·체계적으로 대응하기 위해 기존 사이버위기 예방·대응 체계를 개편하는 한편, 관련 제도 개선을 추진한다.

먼저, 과기정통부와 KISA는 사이버침해대응센터의 침해사고 탐지·분석 대응체계를 고도화해 나갈 계획이다. 사이버위협에 신속히 대응할 수 있도록 법·제도 개선도 추진하고, 제로트러스트 및 ‘공급망 보안’의 새로운 보안관리 체계가 자리 잡을 수 있도록 지원할 예정이다.

이종호 과기정통부 장관은 "기간통신사업자인 LG유플러스에 대한 조사·점검 결과 여러 가지 취약점이 확인되었으며, 이에 대해서는 LG유플러스에 책임있는 시정조치를 요구했다"며 "기간통신사업자는 침해사고가 국민 일상의 불편을 넘어 막대한 경제적 피해, 사회 전반의 마비 등을 야기할 수 있음을 엄중히 인식하고 사이버위협 예방 및 대응에 충분한 투자와 노력을 다함으로써 국민들의 안전한 디지털 서비스 이용을 보장해야 할 책무가 있다"고 말했다.

이어 "정부도 날이 갈수록 다양해지고 확대되고 있는 지능적·조직적 사이버 위협에 대비하여 기존 정보보호 체계를 보다 실효성 높은 체계로 강화하여 국민들과 기업이 신뢰하는 안전한 디지털 서비스 강국을 구축해나가겠다"고 전했다.

LG유플러스는 27일 오후 추후 계획과 입장 등을 내놓을 예정이다.

이인애 기자 22nae@chosunbiz.com