과학기술정보통신부와 한국인터넷진흥원(KISA)이 올해 초 발생한 LG유플러스 개인정보 유출과 디도스 공격으로 인한 인터넷 장애에 대한 조사결과를 27일 발표했다.
개인정보 유출의 경우 LG유플러스는 암호, 데이터베이스(DB) 접근제어 미흡 등의 문제로 인해 고객인증 시스템에 취약점이 있었고 대용량 데이터 이동 등 실시간 탐지체계도 없었던 것으로 드러났다. 이에 따라 2018년 6월 전후로 생성된 총 29만7117명의 고객 데이터가 LG유플러스 고객인증 시스템에서 유출된 것으로 추정된다. 초기에는 LG유플러스 고객 19만명의 정보가 유출된 것으로 알려졌으나, 추후 해지고객DB 등에서 현재 LG유플러스 고객이 아닌 이용자의 정보를 포함해 고객 11만명의 정보가 추가로 유출된 것을 확인했다.
◆'유출' 더 많을 수도…2차 피해 확률 낮아
유출 시점은 관련 기록이 없어 특정하기 어려운 관계로 2018년 6월 15일 03시 58분 이후라는 모호한 결론을 내렸다. 유출 경로도 정보 부족으로 원인 확인이 어려웠다.
2차 피해 가능성은 낮은 것으로 조사됐다. 스미싱, 이메일 피싱, 불법로그인 유심 복제 등이 우려되지만, 불법로그인은 비밀번호가 암호화돼 있고 유심 복제는 실제 유심의 개인키가 있어야 하는 만큼 실제 피해가 일어날 확률은 적다는 게 과기정통부와 KISA 측 입장이다.
디도스 공격의 경우 내부 라우터 장비가 외부에 노출돼 있었고 라우터 간 접근제어 정책도 미흡했다. 또, 주요 네트워크 구간에 보안장비를 설치하지 않는 문제도 확인했다. LG유플러스는 외부 디도스 공격으로 인해 지난 1월 29일 3회(총 63분), 2월 4회 2회(총 57분) 등 총 2시간에 걸쳐 유선인터넷과 IPTV, 070 전화서비스 등에서 접속 장애를 일으켜 일반 이용자와 함께 PC방 등 소상공인이 관련 피해를 입었다.
LG유플러스는 경쟁사보다 정보보호 인력과 조직이 부족하고 정보보호에 대한 투자도 소홀했던 것으로 조사됐다. 2022년 이동통신 3사의 정보보호 투자액과 관련 인력은 △KT 1021억원, 336명 △SK텔레콤(SK브로드밴드 포함) 860억원, 305명 △LG유플러스 292억원, 91명 순으로 조사됐다.
정부는 LG유플러스에 기술적 조치방안으로 분기별 보안 취약점 점검 및 제거, 실시간 모니터링 체계 및 IT 자산 통합 관리 시스템 구축, 보안장비 구축 등을 주문하며 정보보호 인력과 예산을 경쟁사 수준으로 확대하고 황현식 LG유플러스 대표 직속 정보보호 조직 구성을 요구했다. 맞춤형 모의훈련과 주요 임원들이 보안 필수교육을 받아야 한다는 조치도 내렸다.
LG유플러스는 "피해를 입은 고객분들께 다시 한번 사과드린다"며 정부의 시정 요구사항을 최우선으로 수행할 것이라고 밝혔다.
LG유플러스는 지난 2월 대표 직속 사이버안전혁신추진단을 구성하고 △사이버 공격에 대한 자산 보호 △인프라 고도화를 통한 정보보호 강화 △개인정보 관리 체계 강화 △정보보호 수준 향상 등 4대 핵심 과제와 102개 세부 과제를 수행하고 있다. 이를 위해 개인정보 보호에 1000억 규모의 대규모 투자도 단행한다.
LG유플러스는 "새로 임명되는 CISO와 CPO(최고프라이버시책임자)를 주축으로 개인정보를 비롯해 전사적인 정보보호 강화 활동을 지속할 것"이라며 "진행상황은 단계 별로 투명하게 공개하고, 종합적 보안 대책은 추후 상세히 설명하는 시간을 가질 것"이라고 전했다.
취약점 점검 및 기술적 예방활동 강화, 개인정보 탐지 시스템 구축, 이상행위 모니터링 시스템 고도화 등을 추진하고 정보보호자문위원회도 가동한다.
피해지원협의체를 통해 인터넷 접속 오류로 인한 보상안을 빠른 시일 내로 확정하고 발표할 예정이다.