올해 초 LG유플러스에서 발생한 고객정보 해킹 및 유출 사고, 디도스(분산서비스거부공격, DDoS) 공격 피해는 부실한 보안 시스템 때문이라는 조사 결과가 나왔다. 사이버 위협이 커지는 가운데 유·무선 통합 2000만명 이상의 고객 정보를 관리하는 국내 3대 통신사에서 구조적인 보안 문제가 드러난 것에 대한 우려가 나온다.
무슨일이야
정확한 시점을 특정할 수 없는 이유는 시스템 로그(기록)가 남아있지 않기 때문이라고 점검단 측은 설명했다. 시스템 로그 보존 기간이 2년이라 유출이 일어났을 시점의 기록이 현재 사라졌다는 것. 따라서 누가 해킹해 어떻게 정보가 유출됐는지도 특정하지 못했다. 홍진배 과기정통부 네트워크정책실장은 “(2018년) 당시 외부 기관이 작성한 LG유플러스의 취약점 분석 보고서를 토대로 16개 시나리오를 분석했고, 근거를 종합해서 유출 가능성이 가장 큰 쪽으로 결론을 내렸다”고 말했다.
어떻게 된 일이야
과기정통부의 설명을 종합하면, 고객정보 유출은 고객인증 데이터베이스(DB) 시스템에서 시작된 것으로 보인다. 특히 2018년 6월 이후 LG유플러스는 고객인증 DB 접속시 입력하는 관리자 계정 암호를 시스템 출고시 기본 설정값(‘admin’)으로 계속 썼던 것으로 드러났다. 쉽게 말해 ‘0000’이나 ‘1234’ 같은 단순한 암호를 그대로 사용했던 것. 해커는 여기서 취약점을 발견하고 관리자 페이지에 접속하는 데 성공, 악성코드(웹셸)를 설치할 수 있었다. 이를 통해 DB에 접근해 고객 정보를 빼낸 것으로 정부는 추정했다.
② 노출된 라우터, 실시간 감시 시스템도 부재
디도스 공격은 라우터와 같은 네트워크 장비에 대한 보안이 취약한 탓으로 드러났다. 과기정통부는 LG유플러스는 다른 통신사들과 달리 라우터를 외부에 노출했기 때문으로 분석했다. 약 68개 이상의 라우터가 외부에 노출, 공격자가 스캔을 통해 이를 인지하고 공격을 감행했다는 설명이다. 다른 통신사들이 신뢰할 수 있는 라우터끼리의 통신만을 허용하는 것과 달리, LG유플러스는 신뢰가 어려운 장비와의 통신도 가능하게 설정돼 있었다. 그 결과 공격에 취약해졌고, 라우터 장비에 다량의 비정상 패킷(데이터 송수신 단위)이 유입된 것. 최광희 KISA 본부장은 “라우터는 네트워크를 담당하는 주요 기기로 외부에서 식별할 수 없도록 관리해야 한다”고 말했다.
고객정보 등이 포함된 대용량 데이터가 외부로 유출되고 있다는 것을 실시간 감지하고 통제할 자동화 시스템도 없었다. 홍진배 실장은 “네트워크 내ㆍ외부 대용량 데이터 이동 등 이상 징후를 탐지하고 차단할 수 있는 실시간 감시체계가 부재했다”며 “시스템별 로그 저장 기준과 보관기간도 불규칙했다”고 했다.
왜 중요해
앞으로는
과기정통부는 사이버 위기 예방ㆍ대응 체계를 개편하고 관련 제도 개선을 추진할 예정이다. 국내 기업을 노리는 해커 조직을 선별 추적해 사이버 공격이 발생하기 전에 수사기관과 공조를 통해 대응할 계획이다. 또 침해사고 사실을 알리지 않는 사업자에 대한 과태료 부과 상한선을 기존 1000만원에서 2000만원으로 올리는 법 개정도 추진한다.
한편 LG유플러스는 이날 “과기정통부의 원인 분석 결과에 따른 시정 요구사항을 전사적인 차원에서 최우선으로 수행하겠다”고 입장문을 냈다. 이 회사는 지난 2월 CEO 직속으로 사이버안전혁신추진단을 구성해 보안 수준을 높이는 데 1000억원 규모 대규모 투자를 하겠다고 밝혔다. LG유플러스는 고객들에 대한 세부 피해 보상 방안을 28일 공개할 예정이다.
지금 뜨는 기업ㆍ기술 궁금하세요? 요즘 핫한 테크 소식을 입체적으로 뜯어보는 ‘기사 +α’를 만나보세요.
👉https://www.joongang.co.kr/factpl