LGU+, 보안 체계·투자 모두 '미흡'…29.7만 고객 정보유출 경로 못 찾아

등록 2023.04.27 11:20:00

과기정통부, 'LGU+ 침해사고 원인분석 및 조치방안' 발표

보안 약한 고객인증DB서 유출 多…라우터 노출로 디도스 표적

분기별 점검·통합 관리시스템·보안 투자 확대·훈련 등 요구

[서울=뉴시스] 최진석 기자 = 황현식 LG유플러스 대표를 비롯한 경영진이 16일 서울 용산구 LG유플러스 용산사옥 대강당에서 열린 LG유플러스 개인정보 유출 및 디도스(DDoS) 공격 관련 기자간담회에서 개인정보 유출 관련 사과 인사를 하고 있다. 왼쪽부터 LG유플러스 이상엽 CTO, 권준혁 부사장, 한 대표, 정수헌 부사장, 최택진 부사장, 박형일 부사장. 2023.02.16. [email protected]

[서울=뉴시스]윤현성 기자 = 올해 초 발생한 LG유플러스의 대규모 고객 정보 유출과 분산서비스 거부 공격(DDoS, 디도스)으로 인한 장애는 LG유플러스의 탐지 시스템 부재, 장비 관리 및 통제 정책 미흡, 보안장비 미설치, 정보보호 투자 저조 등이 원인인 것으로 조사됐다. 정부는 유사 사례 재발 방지를 위해 실시간 감시 체계 및 통합 관리 시스템 구축, 정보보호 투자 확대, 맞춤형 훈련 실시 등의 조치를 촉구했다.

과학기술정보통신부와 한국인터넷진흥원(KISA)은 LG유플러스의 최근 사이버 침해사고 원인을 분석하고 전반적인 정보보호 침해 예방·대응체계를 점검해 관련 조치사항을 담은 'LGU+ 침해사고 원인분석 및 조치방안'을 27일 발표했다.

지난 1월 초부터 LG유플러스를 대상으로 한 연이은 사이버공격으로 고객정보 유출, 유선인터넷 등 장애가 나타나자 정부는 민관합동조사단, 특별조사점검단 등을 운영해 원인분석 및 재발방지 대책방안 마련에 나섰다. 정부는 이날 발표 내용에 따라 LG유플러스에 책임 있는 시정조치를 요구할 예정이다.

29.7만명 고객정보 유출, 고객인증 DB서 유출 가장 많은 듯…보안·인증 체계 취약

LG유플러스의 고객정보 유출 사고에 대한 분석은 유출데이터 내용 분석 및 출처 확인 → 유출 대상 시스템 및 유출 규모 확인 → 데이터 유출 시점 추정 → 유출 경로 파악 → 2차 피해 가능성 판단의 단계로 진행됐다.

LG유플러스가 해커로부터 확보한 유출데이터 60만건은 DB(데이터베이스) 형태의 텍스트 파일로, 총 26개의 컬럼으로 구성됐다. 컬럼에는 휴대전화번호, 성명, 주소, 생년월일, 암호화된 주민등록번호, 모델명, 이메일, 암호화된 비밀번호, 유심(USIM) 고유번호 등이 있다. 이 가운데 '교환기주소', '서비스명' 컬럼에서 LG유플러스의 고객정보로 판단할 수 있는 데이터를 확인해 실제 고객정보가 맞음을 확인했다.

120여대 이상의 LG유플러스 고객정보 처리 시스템 중 가장 많은 정보를 저장·처리하는 시스템은 전체회원 DB(UCube), 고객인증 DB(CAS), 해지고객 DB 등 3개다. 정부는 유출데이터의 컬럼, 데이터 내용 등이 이 3개 DB 시스템과 연관된 것으로 보고 사고원인 분석을 진행했다. 유출데이터의 컬럼명(26개)과 3개 DB 각각의 컬럼명의 일치 또는 유사성 등을 분석했는데, 컬럼명이 가장 일치(혹은 유사)한 시스템은 고객인증 DB였다.

LG유플러스 주요 고객정보 처리시스템 개요도. (사진=과기정통부 제공) *재판매 및 DB 금지

유출 규모는 중복 데이터를 제거하고 총 29만6477명의 데이터가 확인됐다. 아울러 LG유플러스가 해커로부터 추가 확보한 이미지 데이터에서 기존 60만건에 포함되지 않은 새로운 고객정보 1039명도 확인했다. 모든 확보 데이터를 3개 DB 시스템의 현재 데이터와 비교한 결과 29만7117명의 고객정보(399명 확인 불가능)가 유출된 것으로 파악됐다.

파일 유출 시점은 특정이 어려우나, 유출데이터의 마지막 업데이트가 이뤄진 2018년 6월15일 오전 3시58분 직후 유출 파일이 생성된 것으로 추정된다. 유출 경로는 2018년 당시 해당 시스템과 DB 접속 등에 대한 로그 정보가 거의 남아 있지 않아(의무 보존 관리 기간 2년) 로그 분석을 통한 사고조사에는 한계가 있었다.

정부는 고객정보가 유출될 수 있는 침해사고 시나리오를 총 16개 마련하고, ▲인터넷 연결 여부 ▲해킹에 악용되는 취약점 존재 여부 ▲접근제어 정책 적용 여부 ▲불필요한 파일 등 관리 여부 등 4가지 위협 판단기준에 따라 각각의 시나리오 검증을 진행했다.

시나리오 검증 결과 당시 고객인증 DB 시스템은 웹 관리자 계정 암호가 시스템 초기암호로 설정되어 있었고, 시스템에 웹취약점이 있어 해당 관리자 계정으로 악성코드(웹셸)를 설치할 수 있는 등 시스템 취약점이 확인됐다. 또한 관리자의 DB접근제어 등 인증체계가 미흡했기에 해커가 웹셸을 이용해 파일을 유출해 나갈 수 있었을 것으로 추정된다.

고객정보 유출로 인해 추가적으로 발생할 수 있는 2차 피해는 스미싱, 이메일 피싱, 불법로그인, 유심 복제 등의 가능성이 있다. 불법로그인은 비밀번호가 암호화돼 있고, 유심 복제는 실제 유심의 개인키가 있어야 하므로 피해 발생 가능성은 낮은 것으로 판단된다.

68개 이상 라우터 외부에 노출…비정상·외부 장비의 LGU+ 라우터 접근 통제 안돼

LG유플러스의 유선 인터넷망을 대상으로 한 디도스 공격 분석은 디도스 공격 발생 및 피해 현황 파악 → 공격 특징 및 유형 파악 → LG유플러스 피해발생 원인 파악의 순서로 이뤄졌다.

LG유플러스 광대역데이터망의 주요 라우터에 대한 디도스 공격으로 5회에 걸쳐 총 120분 간 유선인터넷, VOD, 070전화 서비스에 장애가 발생했다.

공격자는 1월29일 3회 총 63분 동안 해외 및 국내 타 통신사와 연동구간의 주요 네트워크 장비 14대(게이트웨이 3대, 라우터 11대)에 디도스 공격을 가했고, 이로 인해 전국 대부분에 서비스 장애가 발생했다. 2월4일에도 2회 총 57분 동안 내부가입자망에서 일부 지역 엣지(Edge) 라우터 약 320대(전체 5000대)를 대상으로 디도스 공격을 가해 해당 지역에 서비스 장애를 유발했다.

타 통신사와 연동된 LG유플러스의 광대역데이터망 구성도 및 디도스 공격 개요. (사진=과기정통부 제공) *재판매 및 DB 금지

디도스 공격으로 인해 통신사 라우터 장비에 다량의 비정상 패킷이 유입됐고 CPU(중앙처리장치) 이용률이 3~4배 이상 대폭 상승하는 등 이번 디도스 공격은 라우터의 과부하를 유발하는 자원 소진 공격 유형으로 분석됐다.

LG유플러스는 디도스 공격 전 약 68개 이상의 라우터가 외부에 노출돼 있었다. 이에 따라 공격자는 포트 스캔을 통해 LG유플러스 라우터를 특정하고 노출된 포트를 대상으로 디도스 공격을 감행한 것으로 분석된다.

LG유플러스의 주요 라우터는 라우터 간 경로정보 갱신에 필수적인 통신 외에 신뢰할 수 없는 장비와도 통신이 가능한 상태로 운영됐고 비정상 패킷 수신이 가능했다. 일반적으로 접근제어 정책(ACL)을 통해 라우터 간 통신유형을 제한하나 이러한 보안조치가 미흡했다. 광대역데이터망에 라우터 보호를 위한 보안장비(IPS)도 설치돼 있지 않아 이로 인해 내부로 인입되는 패킷의 비정상 여부 검증, 검증 이후 트래픽 제어 등이 불가능했던 것도 시스템 장애의 이유로 분석된다.

LGU+, 데이터 유출 실시간 감시 시스템 無…보안투자도 타 통신사 절반 수준

LG유플러스는 고객 정보 등 대용량 데이터가 유출될 때 이를 실시간으로 감시하고 통제·차단할 수 있는 자동화된 시스템이 없었다. 시스템별 로그 저장 기준과 보관기간도 불규칙했다.

이에 대해 정부는 현재 LG유플러스 메일시스템에만 적용돼 있는 AI기반 모니터링 체계를 고객정보처리시스템까지 대상을 확대해 사이버위협에 대해 실시간으로 감시할 수 있도록 개선하도록 했다. IT 자산 중요도에 따른 로그정책과 중앙로그관리시스템을 수립·구축하고 주기적인 점검도 시행하도록 요구했다.

LG유플러스는 디도스 공격 전에도 약 68개 이상의 라우터 정보 등 주요 네트워크 정보가 외부에 많이 노출돼 있어 이를 악용한 공격이 가능했다. 네트워크 각 구간에 침입 탐지·차단 보안장비가 없었고 전사 IT 자원에 대한 통합 관리시스템도 부재했다.

정부 시정조치에 따라 LG유플러스는 분기별로 1회 이상 모든 IT자산에 대한 보안 취약점을 점검·제거해야 한다. 또한 침해사고 예방·대응·분석 등에 활용할 수 있는 IT자산 통합관리시스템을 도입해 시스템 관리체계도 개선하도록 했다.

핵심 서비스와 내부정보 등을 보호하기 위한 전문인력도 부족했고, 정보보호 조직의 권한과 책임도 미흡했다. IT 및 정보보호 관련 조직이 여러 곳에 분산돼 있어 긴급 상황 발생 시 유기적인 대응 및 빠른 의사결정도 어려웠다. 무엇보다 1021억원(KT), 860억원(SKT)에 달하는 타 통신사의 보안투자 대비 LG유플러스 투자액이 292억원으로 저조한 것도 전반적인 침해 예방·대응 체계 수준과 관련이 있는 것으로 판단됐다.

정부는 LG유플러스가 주요 보안인력을 타 통신사와 대등한 수준으로 보강하고, 정보보호책임자(CISO·CPO)를 CEO 직속 조직으로 강화해 보다 전문화된 보안조직 체계를 구성하도록 했다. 정보보호 강화에 필요한 예산 규모를 타 통신사와 대등한 수준 이상으로 확대하되, 한시적인 투자 확대가 아닌 장기 계획에 따른 보완 투자가 진행될 수 있도록 요구했다.

최근 사이버 위협에 따른 실전형 침투훈련도 부족했고, 임직원 대상의 보안교육도 형식적이고 바로 보안업무에 활용할 수 있는 실무형 업무매뉴얼도 부재했다.

[서울=뉴시스] 이윤청 기자 = 11일 서울 용산구 LG유플러스 용산 사옥 문이 굳게 닫혀 있다. LG유플러스는 이태원 주점을 다녀온 본사 직원이 코로나19 확진 판정을 받자 추가 감염을 예방하기 위해 용산 사옥을 11일부터 사흘간 폐쇄하기로 했다. 2020.05.11. radiohead@newsis.com

[서울=뉴시스] 이윤청 기자 = 11일 서울 용산구 LG유플러스 용산 사옥 문이 굳게 닫혀 있다. LG유플러스는 이태원 주점을 다녀온 본사 직원이 코로나19 확진 판정을 받자 추가 감염을 예방하기 위해 용산 사옥을 11일부터 사흘간 폐쇄하기로 했다. 2020.05.11. [email protected]

이에 정부는 외부기관을 통해 최근 사이버 위협 기반의 공격 시나리오를 개발하고, 이에 맞는 맞춤형 모의훈련을 연 2회 이상 수행하도록 했다. 이를 통해 외부기관이 진행하는 모의 침투 훈련에도 참여해 평소 사이버위협 대응능력을 높일 예정이며, 임직원 대상 보안교육을 연 2회 이상 실시하고 실무를 반영한 보안매뉴얼도 개발·관리해야 한다.

과기정통부는 이번 LG유플러스 사태를 계기로 기존 사이버위기 예방·대응 체계를 개편하고 관련 제도 개선에도 나설 예정이다. KISA와 함께 ▲사이버침해대응센터 침해사고 탐지·분석 대응체계 고도화 ▲사업자 대상 자료 제출 요구 등 사이버위협 관련 법·제도 개선 ▲제로트러스트와 공급망 보안 등 신규 보안관리 체계 정착 지원 등을 추진한다.

이종호 과기정통부 장관은 "LG유플러스에 대한 조사·점검 결과 여러 가지 취약점이 확인됐으며 LG유플러스에 책임있는 시정조치를 요구했다"며 "기간통신사업자는 사이버위협 예방 및 대응에 충분한 투자와 노력을 다함으로써 국민들의 안전한 디지털 서비스 이용을 보장해야 할 책무가 있다"고 강조했다.

이어 "정부도 날이 갈수록 다양해지고 확대되고 있는 지능적·조직적 사이버 위협에 대비해 기존 정보보호 체계를 보다 실효성 높은 체계로 강화하여 국민들과 기업이 신뢰하는 안전한 디지털 서비스 강국을 구축해나가겠다"고 덧붙였다.

◎공감언론 뉴시스 [email protected]