27일 오전 정부서울청사에서 홍진배 과학기술정보통신부 네트워크정책실장이 LG유플러스 정보 유출·접속 장애 사고 원인과 조치방안 등을 발표하고 있다. 연합뉴스

올해 1월 초 발생한 LG유플러스 29만 고객 개인정보유출 사태의 원인이 규명됐다. ‘특별조사점검단’이 약 100일 간의 조사 끝에 내린 이번 사태의 근본적인 원인은 ‘미흡한 정보보호 투자로 인한 기술적·관리적 부실’이었다. LG유플러스는 특별조사점검단이 발표한 이번 조사 결과를 바탕으로 보다 견고하고 실효성 있는 방어 체계를 갖추는 한편 피해 고객들에게도 마지막까지 책임감 있는 조치를 취하겠다는 방침이다.

과학기술정보통신부와 한국인터넷진흥원은 올해 초 발생한 LG유플러스의 고객정보유출 및 유선인터넷 장애 등의 원인을 조사하고 관련 조치사항을 담은 ‘LGU+ 침해사고 원인분석 및 조치방안’을 27일 발표했다.

앞서 LG유플러스는 올해 초 고객 개인정보 29만7117건의 유출 사실을 확인했다. 또 1월29일과 2월4일에는 총 5번에 걸쳐 분산서비스거부공격(DDoS·디도스)을 당하며 유선 인터넷, 070 전화 등을 이용하는 고객들이 접속 장애를 겪었다.

이에 과기정통부와 한국인터넷진흥원 등은 지난 1월11일 디지털포렌식 등 외부 전문가를 포함한 민관합동조사단을 꾸렸다. 디도스 사태 이후에는 기존 조사단을 ‘특별조사점검단’으로 개편해, 기존 원인 분석 및 재발방지에서 보다 심층적인 정보보호 예방 대응 체계로 조사·점검 범위를 확대했다.

▶ LG유플러스 29만 고객 데이터, 언제, 무엇이 어떻게 유출됐나?= LG유플러스가 해커로부터 확보한 유출데이터는 DB 형태의 텍스트 파일이다. 휴대전화번호, 성명, 주소, 생년월일, 암호화된 주민등록번호, 모델명, 이메일, 암호화된 비밀번호, USIM 고유번호 등의 컬럼을 아우른 총 26개의 컬럼으로 구성돼 있었다.

특별조사점검단의 조사 결과에 따르면 유출된 29만 고객정보의 상당수는 ‘고객인증 DB’ 시스템에서 비롯된 것으로 분석된다. 특별조사점검단은 유출데이터가 LG유플러스의 어느 시스템에서 유출된 것인지 파악하기 위해 회사 내 내부 고객정보 처리 시스템 약 120여대 이상을 분석했다. 그 결과 부가 서비스에 대한 인증 기능을 수행하는 ‘고객인증 DB’ 시스템이 동일 컬럼명 22개, 유사 컬럼명 3개로 가장 큰 유사성을 보였다.

유출 시점은 LG유플러스 고객의 요금제나 회원정보가 변경되면 변경시점으로 업데이트 되는 ‘고객정보 변경시간’(UPDATE_DTIME) 컬럼 값을 근거로 추정했을 때 2018년 6월15일 03시58분 직후로 추정된다. 다만 관련 시스템의 로그가 남아있지 않아 정확한 유출 시점은 특정하기 어려운 상황이다.

특별조사점검단에 따르면 당시 고객인증 DB 시스템은 웹 관리자 계정 암호가 시스템 초기암호로 설정돼 있었다. 또 시스템에 웹 취약점이 있어 해당 관리자 계정으로 악성코드를 설치할 수 있었다. 이처럼 관리자의 DB 접근제어 등 인증체계가 미흡해 해커가 원격에서 공격 대상 웹서버에 명령을 실행하는 방식의 ‘웹셸’ 공격으로 고객 정보를 유출했을 것으로 보고 있다.

또 고객정보 유출로 인해 추가적으로 발생할 수 있는 2차 피해는 스미싱, 이메일 피싱, 불법로그인, 유심(USIM) 복제 등이 있다. 다만 이 가운데 불법로그인은 비밀번호가 암호화되어 있고, USIM 복제는 실제 USIM의 개인키가 있어야 해 피해 발생 가능성은 낮은 것으로 판단했다.

아울러 지난 1월29일과 2월4일 각 3회, 2회 씩 총 5회 동안 120분 가량 진행된 디도스 공격의 경우 공격자가 네트워크를 구성하는 통신사의 라우터 장비를 대상으로 공격을 시도한 것으로 파악됐다. 라우터 장비에 다량의 비정상 패킷이 유입됐고, CPU 이용률이 대폭 상승하며 네트워크 장애가 발생했다는 것이다.

타 통신사는 라우터 정보 노출을 최소화하고 있지만, LG유플러스는 디도스 공격 전에 약 68개 이상의 라우터가 외부에 노출된 게 원인 중 하나로 지목됐다. 공격자가 LG유플러스의 라우터를 특정하고 노출된 포트를 대상으로 디도스 공격을 감행했다는 분석이다.

▶ “정보보호 인력·예산 부족...기술적·관리적 조치 필요”= 특별조사점검단은 근본적으로 LG유플러스의 정보보호 인력 및 예산 부족이 이번 사태를 초래했다고 보고 있다.

지난해 기준 국내 통신사의 정보보호 투자액은 KT가 1021억원으로 가장 많다. SK텔레콤은 860억원, LG유플러스는 292억원 수준이다. 정보통신 투자액 대비 정보보호 비중도 KT가 5.2%로 가장 높으며, SK텔레콤이 3.9%, LG유플러스가 3.7%로 나타났다.

인력에서도 LG유플러스는 타사 대비 상당한 차이를 보였다. KT가 336명으로 가장 많았고, SK텔레콤이 305명이었다. LG유플러스는 전문인력이 91명에 불과한 것으로 드러났다.

이로 인해 ▷고객정보 등이 포함된 대용량 데이터가 외부로 유출될 때, 실시간으로 감시·통제할 수 있는 자동화 시스템 ▷네트워크 각 구간에 설치해야 할 침입 탐지·차단 보안장비 ▷전사 IT 자원에 대한 통합 관리시스템 등이 부재할 수밖에 없었다는 것이다.

특별조사점검단은 이와 더불어 IT 및 정보보호 관련 조직이 여러 곳에 분산돼 있어 긴급 상황 발생 시, 유기적인 대응 및 빠른 의사결정에 어려움이 있었던 것으로 진단했다.

이종호 과기정통부 장관은 “LGU+에 대한 조사·점검 결과 여러 가지 취약점을 확인해 책임 있는 시정조치를 요구했다”면서 “정부도 날이 갈수록 다양해지고 확대되고 있는 지능적·조직적 사이버 위협에 대비해 국민들과 기업이 신뢰하는 안전한 디지털 서비스 강국을 구축해나가겠다”고 말했다.

한편 LG유플러스는 개인정보 유출 사태 발생 후인 지난 2월 연간 정보보호 투자액을 지난해의 3배 수준인 1000억원으로 늘리겠다고 밝혔다. 또 고객 피해를 최소화하기 위한 피해신고센터도 운영해왔다. 박혜림 기자