IT 관리자 암호가 'admin'···LGU+ 30만 정보유출, 배경은 이랬다

관리자 암호가 'admin'···LGU+ 30만 정보유출, 배경은 이랬다

등록 2023.04.27 14:04

수정 2023.04.27 15:25

기자

고객 DB 관리자 비번 초기 그대로···침입 탐지·차단 장치도 부재수십개 '라우터' 장비 정보 외부로 노출, 5차례 디도스공격 야기정보보호 인력 및 조직도 미흡, 투자금액도 경쟁사 대비 적어

연초 LG유플러스 고객 30만명의 개인정보가 유출된 배경엔 회사의 안이한 보안의식이 있었다. 해킹과 같은 비정상 행위 위험성을 실시간으로 감시하고 통제해야 할 시스템은 존재하지 않았고, 심지어 고객 정보가 담긴 데이터베이스(DB) 관리자 계정 비밀번호는 초기암호(admin) 그대로였다.

과학기술정보통신부는 27일 정부서울청사에서 브리핑을 열어 이런 내용이 담긴 'LGU+ 침해사고 원인분석 및 조치방안'을 발표했다. 이날 브리핑에서는 연초 LGU+ 대상 사이버공격으로 발생한 ▲고객정보 유출과 ▲유선인터넷 장애 사고가 함께 다뤄졌다.

홍진배 과기정통부 네트워크정책실장이 27일 오전 정부서울청사 브리핑에서 LGU+ 침해사고 원인분석 및 조치방안에 관해 설명하고 있다. 사진=과학기술정보통신부 제공

왜 하필 LGU+만···"약한 쪽 공격하기 마련"
개인정보가 유출된 고객은 29만7117명으로 추산됐다. 이는 LGU+가 해커로부터 확보한 60만건의 데이터 중 동일인에 대한 중복 데이터를 제거한 수치다. 다만 해커가 고객 개인정보가 담긴 이미지 파일을 더 확보했다고 주장하는 만큼, 유출규모는 더 확대될 가능성이 있다.

유출시점은 2018년 6월 15일경, 유출처는 '고객인증 데이터베이스'(CAS DB)로 추정됐다. 유출데이터 컬럼명이 대거 일치한 데다, 당시 CAS DB 시스템에 취약점이 많았다는 이유다. 이 DB 웹 관리자 계정 암호는 시스템 초기암호로 설정돼 있었고, 시스템에 웹취약점이 있어 해당 관리자 계정으로 악성코드(웹셸)를 설치할 수 있었다. 또 관리자의 DB접근제어 등 인증체계가 미흡해 해커가 웹셸을 이용, 파일을 유출해 나갈 수 있었을 것으로 추정됐다.

특히 비정상 행위를 탐지하거나 차단하는 '대응체계'조차 마련돼 있지 않아, 피해를 더 키웠다고 과기정통부는 설명했다.

고객인증 시스템을 통한 유출 경로 시나리오. 사진=과학기술정보통신부 제공

유선 인터넷 장애를 야기한 디도스공격(분산서비스거부) 배경에도 LGU+의 안이한 보안정책이 있었다. 라우터는 네트워크를 담당하는 중요 기기라 외부에서 정보를 식별하지 못하도록 해야 하는데, 지금껏 68개 이상의 라우터 정보가 외부에 노출돼 있었다. 더욱이 네트워크 구간마다 침입을 탐지하거나 차단하는 보안장비가 없었고, 전사 IT 자원에 대한 통합 관리시스템도 부재했다. 홍진배 과기정통부 네트워크정책실장은 "(해커는) 약하다고 생각하면 공격하는 습성이 있다"고 평가했다.

LGU+ 보안, 유독 왜 약했나
연초 발생한 일련의 사태로 LGU+가 평소 '정보보호'에 소홀했다는 사실도 확인됐다. 지난해 기준 LGU+가 정보보호 분야에 투자한 금액은 292억원(매출 대비 3.7%)에 불과했다. KT(1021억원·5.2%), SKT·SKB(860억원·3.9%)와 비교하면 적다. 전문인력도 91명에 그쳐, 300명대인 경쟁사들에 비해 매우 부족했다.

실효성 있는 보안인식 제고 방안 및 실천체계도 부재했다. 홍진배 네트워크정책실장은 "LGU+는 해킹메일 발송 등 단순 모의훈련은 실시하고 있으나, 최근 사이버 위협에 따른 실전형 침투훈련이 부족했다"면서 "임직원 대상 보안교육도 형식적이고, 바로 보안업무에 활용할 수 있는 실무형 업무매뉴얼도 부재한 것으로 조사됐다"고 지적했다.

LG유플러스 임원들이 사이버 공격에 의한 고객 개인정보 유출과 서비스 장애 사태에 대한 기자간담회를 열고 고개 숙여 사과하고 있다. 왼쪽부터 이상엽 CTO, 권준혁 MW부문장, 황현식 사장, 정수헌 컨슈머부문장, 최택진 기업부문장, 박형일 홍보/대회협력센터장. 사진=이수길 기자 Leo2004@newsway.co.kr

LGU+는 과기정통부의 이런 조언을 받아들여 시정한다는 방침이다. 우선 전사정보보호·개인정보보호책임자(CISO·CPO)를 CEO 직속 조직으로 강화하고, 영역별 보안 전문가를 영입해 역량을 강화한다. 또 보안과 품질에 대한 투자를 강화하고자, 단기간 내 연간 정보보호 투자액을 현재의 3배 수준인 1000억원으로 확대한다. 보안컨설팅기업과 전문기관, 학계에 종사하는 외부 전문가들로 구성된 정보보호위원회도 운영한다.

미래 보안기술에 대한 연구와 투자에도 노력한다. 인공지능(AI)을 활용한 보안위협 분석·대응체계를 인프라에 적용하고, 공격자가 내부에 있다는 전제로 보안수준 강화방안을 마련하는 '제로 트러스트 아키텍처'(Zero Trust Architecture)에 기반한 최신 기술로 전사적인 보안수준을 향상한다.

LGU+ 관계자는 "새롭게 임명되는 CISO, CPO를 주축으로 개인정보를 비롯한 전사적인 정보보호 강화 활동을 지속할 예정"이라며 "진행 상황은 단계별로 투명하게 공개하고, 종합적 보안 대책은 추후 상세히 설명하는 시간을 갖겠다"고 말했다. 그러면서 "그동안 외부에서 준 다양한 염려와 의견을 충분히 반영하고, 뼈를 깎는 성찰로 고객들에게 더 깊은 신뢰를 주는, 보안·품질에 있어 가장 강한 회사로 거듭나겠다"고 덧붙였다.