LGU+ 고객정보 해킹 원인은?... "실시간 감시 시스템 부재“

LG유플러스 고객 개인정보가 유출된 원인이 밝혀졌다. 해킹을 감시하고 통제하는 보안시스템이 없었기 때문이다.

27일 과학기술정보통신부 발표에 따르면 LG유플러스는 고객정보가 외부로 유출됐을 때, 이를 탐지할 실시간 감시체계가 부재했다.  

과기정통부에 따르면 해킹범은 LG유플러스의 고객인증 데이터베이스(DB) 시스템의 취약점을 공략했다. 당시 고객인증 DB 시스템은 웹 관리자 계정 암호가 '초기암호'로 설정돼 해킹 위협에 고스란히 노출된 상태였다고 과기정통부는 설명했다. 취약점을 공략해 관리자 계정으로 악성코드를 설치할 수 있었고 관리자가 DB에 접근할 때 인증체계가 미흡하다고 부연했다. 또 과기정통부는 해킹 등이 발생했을 때 이에 대응할 실무형 업무 지침도 부재했다고 밝혔다. 

2차 피해 가능성에 대해 과기정통부는 스미싱, 이메일 피싱, 불법 로그인, 유심(USIM) 복제 등이 예상된다고 밝혔다. 

과기정통부는 LG유플러스가 현재 메일 시스템에만 적용하고 있는 AI기반 모니터링 시스템을 고객정보 처리 시스템까지 확대할 것이라고 밝혔다. 또 분기별로 1회 이상 모든 IT자산에 보안 취약점을 점검하도록 지시했다. 

투자·인력 부족도 해킹의 원인으로 꼽혔다. LG유플러스의 정보보호 투자액과 정보보호 인력은 각각 292억원·91명으로, KT의 1021억원·336명, SK텔레콤의 860억원·305명 대비 현저히 낮은 수준이다. 

이밖어도 인터넷 접속 장애는 내부 라우터 장비가 외부로 노출돼 디도스 공격을 받아 발생한 것으로 확인됐다. 주요 네트워크 구간에 보안장비 미설치도 사태를 키웠다. 

과기정통부에 따르면 LG유플러스의 네트워크는 1월 29일과 2월 4일 이틀간 총 5번 디도스 공격을 받았다. 이로인해 120분 간 LG유플러스의 유선인터넷, VOD, 070 서비스에 장애가 발생했다. 

디도스 공격 전 LG유플러스 라우터 약 68개 이상이 외부에 노출됐는데, 이를 대상으로 디도스 공격이 감행됐다. 타 통신사 라우터는 노출을 최소화했기 때문에 LG유플러스가 표적이 됐다고 과기정통부는 설명했다. 

또 LG유플러스의 라우터는 신뢰할 수 없는 장비와도 통신이 가능한 상태로 운영돼 비정상 패킷 수신이 가능한 상태였다고 과기정통부는 부연했다. 또 네트워크에 라우터 보오를 위한 보안장비마저 설치돼있지 않았다. 

과기정통부는 이번 LG유플러스 개인정보 유출 및 인터넷 접속 장애 사태를 계기로 사이버위협에 대한 신속한 대응을 위해 법·제도를 개선한다는 방침이다. 기존에는 침해사고가 발생해도 사업자가 침해사고를 당하지 않았다고 주장하거나 사고 자체를 인지하지 못한 경우 자료제출 요구가 어려웠다. 과기정통부는 이제 침해사고 정황 또는 징후가 명확할 경우 사업자가 자료를 제출하도록 한다는 계획이다. 

이종호 과기정통부 장관은 “기간통신사업자인 LG유플러스에 대한 조사·점검 결과 여러 가지 취약점이 확인되었으며, 이에 대해서는 LGU+에 책임있는 시정조치를 요구하였다”라고 말하면서 “기간통신사업자는 침해사고가 국민 일상의 불편을 넘어 막대한 경제적 피해, 사회 전반의 마비 등을 야기할 수 있음을 엄중히 인식하고 사이버위협 예방 및 대응에 충분한 투자와 노력을 다함으로써 국민들의 안전한 디지털 서비스 이용을 보장해야 할 책무가 있다.”라고 언급하였다.

한편, 해킹으로 인한 최초 고객정보 숫자가 60만개인 만큼 동일인 등 구분 조건에 따라 전체 피해자 수는 변동이 있을 수 있는 상태다.