LGU+ 이용자 30만여명 정보 유출…원인은 인증 시스템 : 비즈N

LGU+ 이용자 30만여명 정보 유출…원인은 인증 시스템

뉴스1

입력 2023-04-27 11:24 수정 2023-04-27 11:24

댓글보기

폰트

뉴스듣기

기사공유 |

지난 2월20일 서울 종로구 LG유플러스 직영점에서 직원이 개인정보 유출 피해 고객에게 제공할 유심(USIM)카드를 들고 있다. 2023.2.20/뉴스1

LG유플러스(032640) 이용자 약 30만여명의 개인정보가 유출된 원인은 인증 시스템 내 취약점 때문인 것으로 조사됐다.

해커가 관리자 계정으로 악성코드를 설치해 파일을 유출할 수 있었던 것으로 파악됐다.

과학기술정보통신부는 한국인터넷진흥원(KISA)과 함께 ‘LGU+ 침해사고 원인분석 및 조치방안’을 27일 발표했다.

올해 1월 LG유플러스를 대상으로 한 사이버 공격으로 이용자 정보 유출, 유선 인터넷 장애 등이 발생했다. 이후 과기정통부는 KISA와 함께 민관합동조사단, 특별조사점검단 등을 운영해 원인 조사에 착수했다.

조사 결과 총 29만7117명의 데이터가 유출된 것으로 확인됐다. 유출 정보 내용에는 휴대전화번호, 성명, 주소, 생년월일, 암호화된 주민등록번호, 이메일, 모델명, 유심 고유번호 등이 포함됐다.

다만 과기정통부는 유출 규모가 더욱 확대될 수 있는 가능성을 배제하기 어렵다고 밝혔다.

◇2018년 유출 추정…유출 감지 시스템 부재

과학기술정보통신부는 한국인터넷진흥원(KISA)과 함께 ‘LGU+ 침해사고 원인분석 및 조치방안’을 27일 발표했다.(과기정통부 제공)

유출 시점은 지난 2018년 6월15일 이후로 추정됐다. 부가 서비스에 대한 인증 기능을 수행하는 고객 인증 데이터베이스(DB) 시스템에 취약점이 유출 원인으로 파악됐다.

당시 해당 시스템은 웹 관리자 계정 암호가 시스템 초기 암호로 설정돼있었다. 시스템 내 취약점이 있어 해커가 해당 관리자 계정으로 악성코드를 설치할 수 있었고 동시에 인증체계가 미흡해 파일을 유출할 수 있을 것으로 추정됐다.

또 LG유플러스는 이용자 데이터가 유출될 때 이를 실시간으로 감지하고 통제할 수 있는 감시 체계가 부재했던 것으로 확인됐다. 시스템별 로그 저장 기준과 보관기간 또한 불규칙했다.

과기정통부는 이용자 정보 유출로 스미싱, 이메일 피싱, 불법 로그인, 유심 복제 등의 2차 피해 가능성이 있다고 밝혔다. 다만 불법 로그인과 유심 복제의 가능성은 낮은 것으로 판단했다.

◇라우터 외부 노출…접근 제어 정책 등 보안 조치 미흡

디도스 공격으로 인한 인터넷 먹통의 경우 LG유플러스의 라우터가 외부에 노출돼 있었던 점이 원인이었다.

타 통신사와는 달리 LG유플러스는 약 68개 이상의 라우터가 외부에 노출돼 있었고 공격자는 이 장비에 공격을 가해 네트워크 장애를 유발한 것으로 파악됐다.

또 LG유플러스의 주요 라우터는 신뢰할 수 없는 장비와도 통신이 가능한 상태로 운영돼 비정상 패킷 수신이 가능했던 것으로 나타났다. 접근 제어 정책(ACL) 등의 보안 조치가 미흡했던 지점이다.

라우터 보호를 위한 보안장비(IPS)가 설치되지 않았던 점 또한 원인으로 지목됐다. 네트워크 각 구간에 침입 탐지·차단 보안장비가 없었고 전사 IT 자원에 대한 통합 관리 시스템도 부재했다.

◇모니터링 체계 구축 주문…인력 보강·보안 매뉴얼 등 요구

과기정통부는 인공지능(AI) 기반 모니터링 체계를 고객 정보 처리 시스템까지 확대할 것을 주문했다. 또 로그 정책과 중앙 로그 관리 시스템을 수립·구축하고 주기적인 점검을 수행하도록 했다.

분기별로 1회 이상 모든 IT 자산에 대한 보안 취약점을 점검하고 IT 자산 통합관리시스템을 도입할 것 또한 요구했다.

또 과기정통부는 전문 보안 인력의 충원과 정보 보호 투자 확대를 주문했다. 임직원 대상의 맞춤형 모의 훈련과 보안 교육을 연 2회 이상 수행하고 실무형 보안 매뉴얼 마련도 요구했다.

과기정통부 차원에서는 사이버 위협 조기 대응을 위해 올해 ‘사이버 위협 통합 탐지 시스템’을 통합 구축한다. 또 수사기관과 공조할 수 있는 ‘능동적 사이버 공격 추적체계’도 도입한다.

침해 사고 정황이 있는 사업자에게 자료 제출을 요구할 수 있도록 법령상 규정도 명확히 한다. 또 침해 사고가 발생해도 신고하지 않은 자에 대해서는 최대 2000만원의 과태료를 부과한다.

조치 방안을 의무 이행할 수 있는 규정도 신설한다. 권고 수준에서 ‘권고 또는 명령’으로 강화한다는 방침이다.

이종호 과기정통부 장관은 “기간통신사업자는 침해사고가 국민 일상의 불편을 넘어 막대한 경제적 피해, 사회 전반의 마비 등을 야기할 수 있음을 엄중히 인식하고 사이버 위협 예방 및 대응에 충분한 투자와 노력을 다함으로써 국민들의 안전한 디지털 서비스 이용을 보장해야 할 책무가 있다”고 말했다.

(서울=뉴스1)