LG유플러스, 데이터 유출 감지 시스템 없었다…정보보호 투자도 미흡

과기정통부, LG유플러스 침해사고 관련 조사 결과 브리핑
데이터 유출될 때 감지·통제할 수 있는 자동화 시스템 부재
네트워크 정보 외부에 노출돼 이를 악용한 공격에 무방비
정보보호 투자·정보보안 인력은 경쟁사 대비 3분의 1수준

▲황현식 LG유플러스 대표. (조현호 기자 hyunho@)

올해 1월 LG유플러스에서 발생한 대규모 고객정보 유출과 디도스 공격으로 인한 서비스 장애 당시 비정상 행위를 탐지하고 차단할 수 있는 대응 시스템이 없었던 것으로 조사됐다. 또 정보보호 투자액이 경쟁사 대비 3분 1 수준에 불과하고 전사 IT자원에 대한 통합 관리시스템이 없는 등 전체적인 보안 체계가 허술한 것으로 나타났다.

27일 과학기술정보통신부는 한국인터넷진흥원과 함께 LG유플러스의 사이버 침해사고 원인을 분석하고 전반적인 정보보호 침해 예방·대응체계를 점검한 ‘LG유플러스 침해사고 원인분석 및 조치방안’을 발표했다. 앞서 올해 1월 신원을 알 수 없는 해커가 포럼에 LG유플러스의 고객정보를 판매한다는 글을 올리며 정보유출 사태가 알려졌다. LG유플러스에서 유출된 고객 정보는 가입자 19만건, 해지고객 11만건 등 총 30만건으로 조사됐다.

해킹·디도스 공격에 여러 취약점 확인

과기정통부 조사 결과 LG유플러스의 고객 데이터가 유출된 시점은 2018년 6월 15일 오전 3시 58분으로 추정된다. 고객들의 요금제나 회원정보가 변경되면 그 시점으로 업데이트 되는 ‘고객정보 변경시간’ 컬럼 값을 근거로 시점을 판단하는데, 이 시점 직휴 유출파일이 생성된 것으로 추정했다.

LG유플러스는 고객정보가 포함된 대용량 데이터가 외부로 유출될 때 이를 실시간으로 감시하고 통제할 수 있는 자동화 시스템이 없었던 것으로 조사됐다. 네트워크 내·외부 대용량 데이터 이동 등 이상 징후를 탐지하고 차단할 수 있는 감시체계가 없었던 셈이다. 특히 시스템별 로그 저장 기준과 보관 기간도 불규칙하는 등 전체적으로 보안 체계의 허점이 드러났다.

뿐만 아니라 디도스 공격에 대비한 시스템 자산 보호·관리 시스템도 미흡한 것으로 조사됐다. LG유플러스의 경우에는 약 68개 이상의 라우터 정보가 외부에 노출돼 있는 등 주요 네트워크 정보가 이미 알려져 있어 이를 악용한 공격이 가능했던 것으로 나타났다. 네트워크 각 구간에는 침입 탐지·차단 보안장비가 없었고, 전사 IT 자원에 대한 통합 관리시스템도 부재한 것으로 나타났다.

특히 내부정보를 보호하기 위한 전문 인력과 보안 관련 투자도 경쟁사 대비 미흡한 것으로 조사됐다. 지난해 총신사 정보보호 투자액을 살펴보면 SK텔레콤이 860억 원, KT가 1021억 원을 투입한 데 반해 LG유플러스는 292억 원 투자에 그쳤다. 정보보호 인력은 300명 이상을 보유하고 있는 경쟁사에 비해 LG유플러스는 3분의 1에도 못 미치는 수준인 91명에 불과했다.

다만 해킹메일 발송 등을 통한 모의훈련은 꾸준히 실시해 온 것으로 조사됐다. 하지만 임직원을 대상으로 한 보안교육은 형식적으로 진행해 사이버 위협에 따른 실전형 침투 훈련이 부족한 것으로 나타났다. 임직원들이 바로 보안업무에 활용할 수 있는 실무형 업무매뉴얼도 없는 것으로 밝혀졌다.

이종호 과기정통부 장관은 “LG유플러스에 대한 조사·점검 결과 여러 가지 취약점이 확인됐으며, 이에 대해서는 책임 있는 시정조치를 요구했다”며 “기간통신사업자는 침해사고가 국민 일상의 불편을 넘어 막대한 경제적 피해, 사회 전반의 마비 등을 야기할 수 있음을 엄중히 인식해야 할 것”이라고 강조했다.

▲홍진배 과기정통부 네트워크정책실장(가운데)이 LG유플러스의 침해사고 관련 원인분석 및 결과 브리핑을 진행하고 있다. (조성준 기자 tiatio@)

정보보호 투자액 늘리고 보안 전문가 영입할 것

이에 대해 LG유플러스는 보안관련 예산을 늘리고 전문가를 양성하는 등 재발 방지에 적극적으로 나선다는 방침이다. 앞서 LG유플러스는 지난 2월 “서비스 장애를 결코 잊지 않겠다”며 황현식 LG유플러스 대표가 직접 사과했다. 그러면서 연간 정보보호 투자액을 현재의 3배 수준인 1000억 원으로 확대하고, 전사정보보호·개인정보보호책임자(CISO·CPO)를 최고경영자(CEO) 직속 조직으로 강화해 영역별 보안 전문가를 영입한다고 강조한 바 있다.

과기정통부는 LG유플러스의 메일에만 적용돼 있는 AI기반 모니터링 체계를 고객정보처리시스템까지 확대해 사이버위협에 대응하도록 했다. 또 IT자산에 따른 로그정책과 중앙로그관리시스템을 구축해 주기적인 점검을 수행하도록 조치했다. 뿐만 아니라 분기별호 1회 이상 모든 IT자산에 대한 보안 취약점을 점검하고 제거하도록 조치했다.

보안 인프라도 강화한다. 정보보호 책임자를 CEO 직속 조직으로 강화해 전문화된 보안조직 체계를 구성하고, 정보보호 예산 규모를 경쟁사와 비슷한 수준 이상으로 확대하도록 조치했다. 또 외부기관을 통해 최근 사이버 위협 기반의 공격 시나리오를 개발하고, 이에 맞는 맞춤형 모의훈련을 연 2회 이상 수행해 사이버위협 대응능력을 높이기로 했다.

앞으로 KISA와 함께 사이버침해대응센터의 침해사고 탐지·분석 대응체계도 고도화한다. 이를 위해 현재 개별 사이버위협 대응에 이용되는 기존의 탐지시스템을 ‘사이버위협통합탐지시스템’으로 통합구축하고 사이버위협 고위험 대상시스템을 조기 탐지·식별하는 체계를 갖춘다는 방침이다. 또 각 기업의 침해사고를 빠르게 파악할 수 있도록 과기정통부의 자료 제출요구에 대한 법령상 규정을 명확히 하는 등의 제도 개선도 추진할 예정이다.

이 장관은 “사이버위협 예방 및 대응에 충분한 투자와 노력을 다함으로써 국민들의 안전한 디지털 서비스 이용을 보장해야 할 책무가 있다”며 “정부도 지능적·조직적 사이버 위협에 대비하고 기존 정보보호 체계를 보다 실효성 높은 체계로 강화해 국민들과 기업이 신뢰하는 안전한 디지털 서비스 강국을 구축해나갈 것”이라고 말했다.