올해 초 발생한 LG유플러스(032640) 개인정보유출 사태로 총 30만 명의 가입자 정보가 유출된 것으로 최종 확인됐다. 정부 조사 결과 유출 지점으로 추정되는 ‘고객인증 데이터베이스(DB)’ 관리자 암호가 초기 상태 그대로 설정돼 있었고, 디도스(DDoS) 공격을 받은 라우터(네트워크 연결 장치)는 외부에 노출돼 있었던 등 관리가 미흡했던 것으로 드러났다. 과학기술정보통신부는 LG유플러스에 ‘책임감 있는 시정조치’를 요구하는 동시에 해킹에 능동적으로 대응할 수 있도록 관계법령을 정비할 계획이다.
과기정통부는 27일 ‘LG유플러스 침해사고 원인 분석 및 조치 방안’을 발표했다. 과기정통부에 따르면 LG유플러스의 개인정보 유출 최종 피해자는 총 29만6477명으로 나타났다. 과기정통부 관계자는 “총 2000만 건의 유출 정보 중 중복 데이터를 제거한 결과”라며 “마지막 유출 시점은 2018년 6월 15일”이라고 밝혔다.
데이터 유출에 따른 실질적인 피해는 크지 않을 전망이다. 유출 위험성이 가장 컸던 비밀번호는 암호화 돼 있었던데다 복제 우려가 제기됐던 유심(USIM) 고유번호는 실제 개인키가 필요해 피해 발생 가능성이 낮기 때문이다. 다만 스미싱이나 이메일 피싱 등의 우려는 남아 있다.
데이터 유출은 고객인증 DB를 통해 이뤄진 것으로 추정된다. 특히 DB 관리자 암호가 초기 출고 상태 그대로인 ‘admin’으로 설정돼 있는데다, 웹 취약점이 있어 악성코드 설치가 가능했다. 일각에서 제기됐던 중국 화웨이 장비 사용에 따른 해킹은 아니라는 판단이다. 과기정통부 관계자는 “현행법상 2년까지만 기록(로그)을 보관하도록 해 2018년 당시 기록이 거의 남아있지 않아 조사에 한계가 있었다”며 “과거 사용자 계정을 통합하며 타 DB에서는 삭제된 데이터가 고객인증 DB에는 남아있었고 이 데이터가 유출된 정황을 확인했다”고 설명했다.
개인정보 유출과 별개로 연초 총 5회, 120분에 걸쳐 벌어진 서비스 장애 원인은 '외부 노출된 라우터'로 파악됐다. 타 통신사와 달리 LG유플러스 라우터 중 68개가 외부에 노출돼 취약한 접근경로(포트) 파악이 쉬웠다. 과기정통부 관계자는 “주요 라우터를 신뢰할 수 없는 장비와도 통신이 가능한 상태로 운영해 비정상 데이터 수신이 가능했다”며 “광대역망에 라우터 보호를 위한 보안장비(IPS)도 설치돼 있지 않았다”고 지적했다.
과기정통부는 LG유플러스의 △비정상 행위 탐지·차단 대응체계 부재 △네트워크 보호·관리 미흡 △전문 인력 및 정보보호 투자 부족 △보안인식 제고 방안 및 실천체계 부재 등에 대해 시정조치를 내렸다. 과기정통부는 “LG유플러스가 단순 모의훈련 외 사이버 위협에 따른 실전형 침투훈련이 부족했고, 임직원 대상의 보안교육도 형식적이었으며 실무형 보안 업무 매뉴얼도 부재했다”고 지적했다.
이에 LG유플러스는 이날 입장문을 내고 "올해 초 발생한 정보 유출과 인터넷 접속 오류로 인해 불안과 불편을 느꼈을 고객분들께 다시 한번 사과드린다"면서 “사안을 심각하게 받아들이고 있으며 시정 요구사항을 전사적인 차원에서 최우선으로 수행하겠다”고 밝혔다. 앞서 지난 2월 LG유플러스는 최고경영자 직속으로 사이버안전혁신추진단을 구성하고 개인정보 관리 체계 강화 등을 위해 보안 관련 투자 규모를 연간 1000억 원으로 확대하는 내용의 대책을 발표한 바 있다.
한편 과기정통부는 전반적인 사이버 보안 위협에 대응하기 위해 향후 해킹 탐지·분석 체계를 고도화할 계획이다. 현재 개별 사이버 위협에 대응하는 탐지시스템을 ‘사이버위협통합탐지시스템’으로 통합 구축해 위험에 노출된 시스템을 조기 탐지·식별한다는 계획이다. 또 해킹을 당하더라도 신고하지 않는 기업에 대해서는 과태료를 기존 1000만 원에서 2000만 원으로 상향할 계획이다. 이에 더해 해킹 징후가 명확한 기업의 자료를 한 발 빨리 요구할 수 있도록 법령을 개정하고, 시정조치를 ‘권고’만 할 수 있는 기존 규정을 ‘명령’까지 할 수 있도록 개정할 예정이다. 이종호 과기정통부 장관은 “지능적·조직적 사이버 위협에 대비해 기존 정보보호 체계를 보다 실효성 높은 체계로 강화하겠다”고 강조했다.