• 페이스북
  • 트위터
  • 유튜브

주말마다 트래픽 폭탄?…LGU+는 어쩌다 디도스 표적 됐을까

등록 2023.02.06 06:30:00수정 2023.02.07 16:45:33

  • 이메일 보내기
  • 프린터
  • PDF

연초부터 다섯 차례 LG유플러스만 공격…보안 인력 적은 주말 골라 타격

'악의적 목적 의도된 공격 가능성…이용자 피해·신뢰도 타격 후 금전 요구 수순?

ISP대상 공격 유형과 달라…정보보호 투자 부족했다는 지적도

LG유플러스 사옥 *재판매 및 DB 금지

LG유플러스 사옥 *재판매 및 DB 금지


【서울=뉴시스】송혜리 기자 = LG유플러스 유선인터넷망을 겨냥한 디도스 공격(DDoS; 분산서비스거부공격)이 주말마다 잇따르고 있다. 지난달 29일과 이달 4일 이틀간 총 5차례 유선 인터넷이 잠시 멈춰섰다. 주말마다 반복된 디도스 공격으로 LG유플러스 회선을 쓰는 PC방 등이 피해를 입었다. 기간통신망이 집중적으로 사이버 공격을 당해 연쇄적인 접속 장애 피해를 당하는 건 매우 이례적인 일이다.

보안 전문가들은 사이버 공격 세력이 악의적인 목적으로 특정 타깃을 집요하게 공격하는 일종의 APT(지능적지속위협) 공격일 가능성에 무게를 두고 있다. LG유플러스는 전사 차원의 위기관리테스크포스(TF)를 가동하고, 정부는 LG유플러스를 상대로 특별점검에 나서기로 했다.

LGU+만 노린 디도스 공격, 해커들이 뭘 노리나

LG유플러스 유선 인터넷망을 겨냥한 디도스 공격만 올해 5번째다. 지난달 29일 총 3차례, 약 63분 간 디도스 공격을 받고 유선 인터넷망이 마비됐다. 이어 지난 4일 오후 두차례 디도스 공격을 받았다. 디도스 공격은 특정 서버나 네트워크 장비를 대상으로 대규모의 데이터를 발생시켜 서비스를 마비시키는 사이버공격이다. 이로 인해 LG유플러스 유선인터넷망을 전용회선으로 사용하는 PC방 등 자영업자들과 초고속인터넷 사용자들이 적잖은 피해를 입었다.

LG유플러스와 사이버 보안 당국은 공격자가 어떤 목적으로 이같은 디도스 공격을 감행했는 지 구체적으로 밝히지 않고 있다. 보안 전문가들은 LG유플러스를 타깃으로 삼은 사이버 범죄 조직의 다분히 의도적인 공격으로 보고 있다. 5차례 디도스 공격이 LG유플러스 유선망에서만 이뤄졌기 때문이다. 같은 시간 KT와 SK브로드밴드의 인터넷망에서는 이상징후가 없었다. 해커들이 보안 상주 인력이 상대적으로 적은 연휴와 주말을 골라 공격을 감행했다는 점도 의도성이 다분하다는 설명이다. 

일각에선 LG유플러스 유선 인터넷망 고객들에게 피해를 지속적으로 유발시킨 다음 이를 중단하는 대가로 금품을 요구하기 위한 수순을 밟지 않겠느냐는 관측이 나오고 있다.  최근 기업을 대상으로 자행되는 사이버 공격 대부분 금전적 대가를 요구하고 있기 때문이다. 익명을 요구한 보안 전문가는 "통신 사업자망이 사이버공격에 뚫리면 이용자에 혼란을 주며, 서비스 신뢰도가 하락하게 된다"면서 "어떻게든 피해를 최소화해야 하는 통신사업자의 심리적 압박을 노렸을 것"이라고 추정했다.

최근 LG유플러스 27만명의 이용자 개인정보를 빼낸 협박범들과 이번 디도스 공격 세력이 동일범 혹은 연계 세력 아니냐는 관측도 다시한번 제기되고 있다. 지난 29일 디도스 1차 공격 당시에도 이같은 추측이 나왔으나 LG유플러스는 이에 대해 "가능성이 희박하다"고 일축한 바 있다.

기존 디도스 유형과 달라…"방어체계 무용지물 됐을 것"

유선인터넷회선 같은 기간통신망의 경우 정부의 보안관리 규정에 의해 엄격하게 관리된다. 디도스 공격은 흔한 사이버 공격이다. 예상 가능한 공격에 대해서는 어느정도 기본 방어체계가 돼 있다는 얘기다. 그럼에도 불구하고 연달아 LG유플러스 유선망이 '넉다운' 될 수 밖에 없었던 이유는 뭘까.

이번 공격이 인터넷서비스사업자(ISP)를 대상으로 했던 기존 디도스 공격과는 유형이 다르다는 는 분석도 나온다. 실제 LG유플러스가 한국인터넷진흥원(KISA)에 디도스 공격이 의심된다고 최초 신고했을 당시, 막대한 트래픽을 발생 시켜 서비스를 마비시키는 디도스 공격이라기엔 상대적으로 공격 트래픽 규모가 적었던 것으로 알려졌다. 

KISA 사정에 밝은 한 보안 업계 관계자는 "LG유플러스에 들어온 디도스 공격이 그동안 쉽게 보던 형태가 아니었던 것으로 확인됐다"며 "처음 공격볼륨이 작게 나오고, 그 방식이나 패턴이 그간 통신사 대상 디도스 공격에도 보던 패턴이 아니기 때문에 정밀한 분석이 필요한 것으로 알고 있다"고 설명했다.

또 다른 보안 전문가는 "LG유플러스 입장에선 지난 디도스 공격 이후 방어체계를 갖췄을 텐데, 또다시 이렇게 디도스 공격을 받았다는 것은 고정적인 패턴의 공격이 아니었다는 것을 의미한다"고 분석했다.

정부, LGU+ 특별조사…대응체계 전반 점검하겠다

LG유플러스의 부실한 정보보호 체계와 시스템이 개인정보 유출과 연쇄적인 디도스 공격을 자초했다는 비판도 나오고 있다. 지난 2021년 기준 정보보호 공시에 따르면, LG유플러스의 정보보호 투자금액과 인력은 KT와는 3배 이상 차이가 났다. LG유플러스는 정보보호부문에 291억원을 투자했다. 관련 전담인력은 내부 42명, 외부인력 49명으로 총 91명에 그쳤다. 반면 KT 정보보호부문 투자액은 1021억원, 전담인력은 내부 283명, 외주 52명으로 335명에 이른다.

LG유플러스의 잇단 보안사고에 주무부처인 과학기술정보통신부는 특별조사점검단을 꾸려 사이버 침해 예방·대응 체계와 관련 문제점을 집중 점검하기로 했다. 또 그 결과를 바탕으로 조치방안과 개선대책을 조속한 시일 내에 제시할 예정이다. 이종호 과기정통부 장관은 "특별조사점검단에서 도출한 결과를 바탕으로 LG유플러스에 책임 있는 시정조치와 미흡한 부분에 대한 조치 이행을 요구하겠다"면서 "다시는 반복된 침해사고가 발생하지 않도록 주요 정보통신사업자의 침해사고 대응체계를 개편하는 등 법령 개정을 포함한 제도개선을 추진하겠다"고 밝혔다.

한편, LG유플러스도 황현식 대표이사를 중심으로 주요 경영진들이 참여하는 전사 위기관리 태스크포스(TF)를 가동했다고 밝혔다. LG유플러스 관계자는 "상암·마곡사옥에는 200여명의 네트워크부문 관제 및 운용, 정보보호 인력이 비상근무체계를 가동하고 있으며, 추가적인 디도스 공격이 발생할 경우 공격 차단 및 트래픽 우회 등 대응방안을 준비하고 있다"며 "전사 위기관리TF를 중심으로 한 대응체계를 통해 디도스 공격에 대한 사전예방 및 대응조치를 차질없이 수행할 계획”이라고 말했다.


◎공감언론 뉴시스 [email protected]

많이 본 기사