"LGU+, 관리자 계정·라우터 관리 허술로 정보유출·접속장애"(종합)
과기정통부 LGU+ 정보유출·장애 대책 발표…"관리자 계정 ID·비번 동일"
"유출규모 확대 및 스미싱 등 2차 피해 가능성 배제못해…정보보호 투자 늘려라"
(서울=연합뉴스) 조성미 기자 = 정부가 LG유플러스[032640]에서 잇따라 발생한 고객 정보 유출과 인터넷 접속 장애의 공통 원인으로 정보보호 인력·조직·투자 부족을 지목하고 이를 다른 통신사 수준까지 끌어올리라고 요구했다.
특히 데이터베이스(DB) 관리자 계정의 아이디와 비밀번호가 'admin'이라는 시스템 초기 암호 그대로 쓰였고, 다른 통신사와 달리 내부 라우터 장비가 외부에 노출돼 사이버 공격에 취약한 점이 지적됐다.
과학기술정보통신부는 27일 광화문 정부서울청사에서 브리핑을 통해 지난 1월 시작한 현장 조사 등을 통해 분석한 LG유플러스 정보 유출·접속 장애 사고 원인과 조치방안을 발표했다.
과기정통부는 LG유플러스에서 2018년 6월께 생성된 29만7천117명분 개인 정보가 고객 인증 시스템에서 유출됐을 것으로 추정했다. 개인 정보 399명분이 더 유출됐지만 신원 확인이 불가능했다.
2014년 6월부터 2021년 8월까지 진행된 이 회사의 사용자 계정 통합 과정에서 전체 회원 데이터베이스(DB)나 해지 고객 DB에서는 정상적으로 삭제된 데이터가 작업 오류로 고객 인증 DB에 남아 있었고, 이들 정보가 유출된 데이터에 2만7천 건이 포함됐다.
정확한 유출 경로는 파악되지 않았지만, 고객 인증 시스템에서 암호나 데이터베이스(DB) 접근 제어가 미흡했고, 대용량 데이터 이동 등에 대한 실시간 탐지 체계가 없었던 것이 사고 원인으로 추정됐다.
당시 고객인증 DB 시스템에서 웹 관리자 계정 암호가 시스템 초기 암호로 설정돼 있었고 관리자 계정으로 악성코드(웹셸)를 설치할 수 있었으며, 관리자의 DB 접근 제어 등 인증체계가 미흡했기 때문이다.
과기정통부는 "유출 경로는 2018년 당시 시스템과 DB 접속 등에 대한 로그 정보가 의무 보존 관리 기간을 넘긴 탓에 거의 남아 있지 않아 로그 분석을 통한 조사에는 한계가 있었다"고 설명했다.
해킹 사이트에 LG유플러스 고객정보 2천만건을 6비트코인에 판매한다는 글을 올해 초 해킹 사이트에 올린 해커의 정체도 파악되지 않았다.
홍진배 과기정통부 네트워크정책실장은 "해커가 3천만명 데이터를 가지고 있다고 이미지 파일만 제시하며 주장하지만 (사실이라고) 단정하기 어렵다"면서도 "유출 규모가 더 확대될 수 있는 가능성도 배제하기 어렵다"고 말했다.
2차 피해에 대해서는 스미싱, 이메일 피싱은 가능성이 있다고 봤다. 다만, 지금까지 당국에 파악된 2차 피해 사고는 없었다.
또, 불법 로그인, 유심(USIM) 복제는 비밀번호 암호화 등 조치로 가능성이 작다고 판단했다.
한편, 올해 1월 29일, 2월 4일 각각 63분과 57분에 걸쳐 유선인터넷, 주문형 비디오(VOD), 070 전화 서비스 접속 장애를 일으킨 디도스 공격은 내부 라우터 장비 외부 노출, 라우터 간 접근제어 정책 미흡, 주요 네트워크 구간 보안장비 미설치 등을 원인으로 지목했다.
라우터 장비에 다량의 비정상 패킷이 유입됐고 중앙처리장치(CPU) 이용률이 평소 20% 미만에서 60∼90%까지 급상승하는 등 라우터 과부하를 유발하는 '자원 소진 공격'이 있었던 것으로 분석됐다.
당국은 "타 통신사는 라우터 정보 노출을 최소화하고 있으나, LG유플러스는 디도스 공격 전에 약 68개 이상의 라우터가 외부에 노출되어 있었다"며 "공격자는 포트 스캔을 통해 LGU+ 라우터를 특정하고 노출된 포트를 대상으로 디도스 공격을 감행한 것"이라고 분석했다.
올해 초 접속 장애가 난 이후에도 LG유플러스 망을 대상으로 한 디도스 공격이 있었지만, 초기 사고 이후 시행한 긴급 보안 조치 영향으로 장애가 추가로 발생하지는 않았다고 과기정통부는 밝혔다.
과기정통부는 이들 보안 사고의 원인으로 LG유플러스의 정보보호 투자가 타사 대비 현저히 떨어지는 점을 지목했다.
지난해 LG유플러스의 전체 정보통신 투자 대비 정보보호 투자액 비중은 3.7%로 KT[030200] 5.2%, SKT[017670] 3.9%보다 낮았다. 정보보호 인력도 KT 336명, SKT 305명에 비해 훨씬 적은 91명 수준이었다.
아울러, LG유플러스에서 네트워크 구간마다 침입 탐지·차단 보안장비가 없었고 전사적인 정보기술(IT) 자원에 대한 통합 관리시스템도 부재했다고 봤다.
과기정통부는 LG유플러스가 정보보호 인력과 예산을 타사 수준까지 확대할 것과 최고경영자(CEO) 직속 정보보호 조직 구성, 맞춤형 모의훈련 및 C레벨 포함 보안 필수교육을 도입할 것을 요구했다.
또 분기별로 보안 취약점을 점검하고 실시간 모니터링 체계와 IT 자산 통합 관리 시스템 개발·구축, 라우터 보호 시스템(IPS) 등 보안 장비 확충하라고 했다.
LG유플러스는 "올해 초 발생한 정보 유출과 인터넷 접속 오류로 불안과 불편을 느꼈을 고객에게 다시 한번 사과드린다"며 "외부 전문가 그룹으로 구성된 정보보호자문위원회를 본격적으로 가동하는 등 시정 요구사항을 전사적인 차원에서 수행할 예정"이라고 밝혔다.
csm@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>
과기정통부 LGU+ 정보유출·장애 대책 발표…"관리자 계정 ID·비번 동일"
"유출규모 확대 및 스미싱 등 2차 피해 가능성 배제못해…정보보호 투자 늘려라"
(서울=연합뉴스) 조성미 기자 = 정부가 LG유플러스[032640]에서 잇따라 발생한 고객 정보 유출과 인터넷 접속 장애의 공통 원인으로 정보보호 인력·조직·투자 부족을 지목하고 이를 다른 통신사 수준까지 끌어올리라고 요구했다.
특히 데이터베이스(DB) 관리자 계정의 아이디와 비밀번호가 'admin'이라는 시스템 초기 암호 그대로 쓰였고, 다른 통신사와 달리 내부 라우터 장비가 외부에 노출돼 사이버 공격에 취약한 점이 지적됐다.
과학기술정보통신부는 27일 광화문 정부서울청사에서 브리핑을 통해 지난 1월 시작한 현장 조사 등을 통해 분석한 LG유플러스 정보 유출·접속 장애 사고 원인과 조치방안을 발표했다.
과기정통부는 LG유플러스에서 2018년 6월께 생성된 29만7천117명분 개인 정보가 고객 인증 시스템에서 유출됐을 것으로 추정했다. 개인 정보 399명분이 더 유출됐지만 신원 확인이 불가능했다.
2014년 6월부터 2021년 8월까지 진행된 이 회사의 사용자 계정 통합 과정에서 전체 회원 데이터베이스(DB)나 해지 고객 DB에서는 정상적으로 삭제된 데이터가 작업 오류로 고객 인증 DB에 남아 있었고, 이들 정보가 유출된 데이터에 2만7천 건이 포함됐다.
정확한 유출 경로는 파악되지 않았지만, 고객 인증 시스템에서 암호나 데이터베이스(DB) 접근 제어가 미흡했고, 대용량 데이터 이동 등에 대한 실시간 탐지 체계가 없었던 것이 사고 원인으로 추정됐다.
당시 고객인증 DB 시스템에서 웹 관리자 계정 암호가 시스템 초기 암호로 설정돼 있었고 관리자 계정으로 악성코드(웹셸)를 설치할 수 있었으며, 관리자의 DB 접근 제어 등 인증체계가 미흡했기 때문이다.
과기정통부는 "유출 경로는 2018년 당시 시스템과 DB 접속 등에 대한 로그 정보가 의무 보존 관리 기간을 넘긴 탓에 거의 남아 있지 않아 로그 분석을 통한 조사에는 한계가 있었다"고 설명했다.
해킹 사이트에 LG유플러스 고객정보 2천만건을 6비트코인에 판매한다는 글을 올해 초 해킹 사이트에 올린 해커의 정체도 파악되지 않았다.
홍진배 과기정통부 네트워크정책실장은 "해커가 3천만명 데이터를 가지고 있다고 이미지 파일만 제시하며 주장하지만 (사실이라고) 단정하기 어렵다"면서도 "유출 규모가 더 확대될 수 있는 가능성도 배제하기 어렵다"고 말했다.
2차 피해에 대해서는 스미싱, 이메일 피싱은 가능성이 있다고 봤다. 다만, 지금까지 당국에 파악된 2차 피해 사고는 없었다.
또, 불법 로그인, 유심(USIM) 복제는 비밀번호 암호화 등 조치로 가능성이 작다고 판단했다.
한편, 올해 1월 29일, 2월 4일 각각 63분과 57분에 걸쳐 유선인터넷, 주문형 비디오(VOD), 070 전화 서비스 접속 장애를 일으킨 디도스 공격은 내부 라우터 장비 외부 노출, 라우터 간 접근제어 정책 미흡, 주요 네트워크 구간 보안장비 미설치 등을 원인으로 지목했다.
라우터 장비에 다량의 비정상 패킷이 유입됐고 중앙처리장치(CPU) 이용률이 평소 20% 미만에서 60∼90%까지 급상승하는 등 라우터 과부하를 유발하는 '자원 소진 공격'이 있었던 것으로 분석됐다.
당국은 "타 통신사는 라우터 정보 노출을 최소화하고 있으나, LG유플러스는 디도스 공격 전에 약 68개 이상의 라우터가 외부에 노출되어 있었다"며 "공격자는 포트 스캔을 통해 LGU+ 라우터를 특정하고 노출된 포트를 대상으로 디도스 공격을 감행한 것"이라고 분석했다.
올해 초 접속 장애가 난 이후에도 LG유플러스 망을 대상으로 한 디도스 공격이 있었지만, 초기 사고 이후 시행한 긴급 보안 조치 영향으로 장애가 추가로 발생하지는 않았다고 과기정통부는 밝혔다.
과기정통부는 이들 보안 사고의 원인으로 LG유플러스의 정보보호 투자가 타사 대비 현저히 떨어지는 점을 지목했다.
지난해 LG유플러스의 전체 정보통신 투자 대비 정보보호 투자액 비중은 3.7%로 KT[030200] 5.2%, SKT[017670] 3.9%보다 낮았다. 정보보호 인력도 KT 336명, SKT 305명에 비해 훨씬 적은 91명 수준이었다.
아울러, LG유플러스에서 네트워크 구간마다 침입 탐지·차단 보안장비가 없었고 전사적인 정보기술(IT) 자원에 대한 통합 관리시스템도 부재했다고 봤다.
과기정통부는 LG유플러스가 정보보호 인력과 예산을 타사 수준까지 확대할 것과 최고경영자(CEO) 직속 정보보호 조직 구성, 맞춤형 모의훈련 및 C레벨 포함 보안 필수교육을 도입할 것을 요구했다.
또 분기별로 보안 취약점을 점검하고 실시간 모니터링 체계와 IT 자산 통합 관리 시스템 개발·구축, 라우터 보호 시스템(IPS) 등 보안 장비 확충하라고 했다.
LG유플러스는 "올해 초 발생한 정보 유출과 인터넷 접속 오류로 불안과 불편을 느꼈을 고객에게 다시 한번 사과드린다"며 "외부 전문가 그룹으로 구성된 정보보호자문위원회를 본격적으로 가동하는 등 시정 요구사항을 전사적인 차원에서 수행할 예정"이라고 밝혔다.
csm@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>
관련뉴스
