LG유플러스가 올해 초 발생한 고객정보 유출과 디도스 공격으로 인한 접속 장애를 다시 한번 사과했다. 과학기술정보통신부(이하 과기부)가 발표한 ‘LG유플러스 침해사고 원인 분석 및 조치방안’으로 인해 정보 보안 체계에 문제가 있었음이 드러났기 때문이다.

LG유플러스는 이와 같은 지적을 심각하게 받아드리고, 과기부의 원인 분석에 따른 시정 요구사항을 전사적인 차원에서 최우선적으로 수행할 것을 밝혔다.

◇ LG유플러스의 정보 보안 사고, 미흡한 관리체계가 원인

과기부는 27일 ‘LG유플러스 침해사고 원인 분석 및 조치 방안’을 발표했다. 이날 발표된 조치방안은 과기부가 한국인터넷진흥원(이하 KISA)과 함께 올해 초 발생한 LG유플러스의 고객정보 유출과 디도스 공격으로 인한 인터넷 장애 발생 원인을 분석하고, 예방 및 대응 체계를 점검해 관련 조치사항을 담은 것이다.

LG유플러스는 지난 1월 2일 해커로 인해 고객의 개인정보가 유출된 것이 확인됐으며, 1월 29일부터는 세 차례 이상의 디도스 공격을 받으면서 인터넷 서비스 접속 오류가 발생하는 사고가 발생한 바 있다.

이날 발표된에 따르면 LG유플러스의 고객 정보 유출 사고 원인은 고객인증 시스템(CAS)으로 유추됐다. 당시 LG유플러스의 고객인증 DB(데이터베이스) 시스템은 웹 관리자의 보안이 취약했으며, 시스템에 웹 취약점이 있어 관리자 계정으로 악성코드 등을 설치할 수 있는 위험이 있었던 것으로 조사됐다. 이와 함께 대용량 데이터 이동을 실시간으로 감시하는 탐지체계가 없었다는 점도 고객 정보 유출의 원인으로 지적됐다.

과기부는 2018년 6월 경 생성된 29만 7117명분의 개인정보가 고객인증 시스템에서 유출됐을 것으로 추정했다. 이와 함께 개인정보 399명분이 더 유출됐지만 신원확인은 불가능했다고 발표했다.

디도스 공격에 대해서도 LG유플러스의 보안 문제가 원인이 됐다는 분석이 나왔다. LG유플러스의 내부 라우터의 외부 노출, 라우터간 접근제어 정책 미흡, 주요 네트워크간 보안정비 미설치 등이 원인으로 꼽혔다.

특히 과기부는 타 통신사의 경우 라우터 정보 노출 최소화하고 있으나 LG유플러스는 디도스 공격 전 약 68개 이상의 라우터가 외부에 노출돼 있었으며, 공격자는 포트 스캔을 통해 LG유플러스의 라우터를 특정하고 노출된 포트를 대상으로 공격을 감행한 것으로 분석했다.

이와 함께 LG유플러스의 주요 라우터는 라우터간 경로 정보 갱신에 필수적인 통신 외 신뢰할 수 없는 장비와도 통신이 가능한 상태로 운영되는 등 보안 조치가 미흡했으며, 광역데이터망에 라우터 보호를 위한 보안장비가 설치돼 있지 않았다는 점을 꼬집었다.

이에 과기부는 LG유플러스의 네트워크 및 시스템 자산 보호와 관리가 미흡하고, 전문 보안 인력 및 정보보호 투자가 부족했다는 점을 지적했다. 이를 개선하기 위해 ‘IT 자산 통합관리 시스템’을 도입을 통한 관리체계 개선과 보안 인력 보강 및 정보보호 강화에 필요한 예산을 타 통신사와 대등한 수준 이상으로 확대할 것을 요구했다.

이종호 과기정통부 장관은 “기간통신사업자는 침해사고가 국민 일상의 불편을 넘어 막대한 경제적 피해, 사회 전반의 마비 등을 야기할 수 있음을 엄중히 인식해야 한다”며 “사이버위협 예방 및 대응에 충분한 투자와 노력을 다함으로써 국민들의 안전한 디지털 서비스 이용을 보장해야 할 책무가 있다”고 전했다.

◇ LG유플러스, 정보 보안체계 강화에 전사적 책임 기울인다

이러한 과기부의 발표에 LG유플러스는 다시 한 번 고개를 숙였다. LG유플러스는 지난 2월 사고 발생에 대한 사과와 방지대책을 담은 ‘사이버 안전 혁신안’을 발표한 바 있다.

당시 황현식 LG유플러스 사장은 “개인정보의 유출과 디도스 공격으로 인한 인터넷 서비스 오류로 불편을 겪은 모든 고객분들에게 진심으로 사과드린다”며 “이번 사고를 매우 중대한 사안으로 보고 있으며, 고객의 신뢰 회복과 고객의 안전을 위해 정보보안체계를 기본부터 다시 점검해 완벽하게 개선할 것”이라고 밝혔다.

특히 LG유플러스는 ‘사이버 안전 혁신안’을 통해 CEO 직속의 사이버안전혁신추진단을 구성하고, 사이버 공격에 대한 자산보호, 인프라 고도화를 통한 정보보호 강화, 개인정보 관리 체계 강화, 정보보호 수준 향상 등 4대 핵심과제에 102개 세부과제를 선정해 수행할 것을 밝혔고, 이를 위해 1000억원 규모의 대규모 투자를 진행할 것을 약속했다.

27일 과기부 발표 직후 밝힌 LG유플러스의 입장문은 이러한 사이버안전 혁신안을 지속해 사고 재발을 방지한다는 것이다. LG유플러스는 사고 직후 긴급진단을 통해 보안장비(IPS) 및 솔루션 도입 등 즉시 개선 가능한 부분을 조치했으며, 외부 전문가 그룹과 협력해 보안 수준을 점검하고 개선 방향을 도출하기 위한 자체 진단을 진행하고 있다고 밝혔다.

아울러 외부 전문가 그룹으로 구성된 정보보호자문위원회를 본격 가동하고, 회사 내 CISO, CPO 조직 개선과 전문 인력투자, 개인정보의 관리체계 개선, 미래보안기술 연구투자, USIM 무상 교체, 피해보상협의체 운영, 대학 및 교육기관과 연계된 사이버 보안 전문인력 육성 등도 함께 이행하고 있다.

LG유플러스는 새롭게 임명되는 CISO, CPO를 주축으로 개인정보를 비롯한 전사적인 정보보호 강화 활동을 지속할 예정이며, 진행상황은 단계별로 투명하게 공개해 종합적 보안 대책은 추후 자세히 설명한다는 방침이다.

LG유플러스는 “외부에서 주신 다양한 염려와 의견을 충분히 반영하고, 뼈를 깎는 성찰로 고객들에게 더 깊은 신뢰를 주는 회사로 거듭날 것”이라고 밝혔다.

hdlim@greenpost.kr