[비즈니스포스트] 정부가 LG유플러스의 최근 고객정보 유출, 인터넷 접속장애 원인을 투자 부족으로 결론내고 시정조치를 요구했다.

과학기술정보통신부는 27일 광화문 정부서울청사에서 브리핑을 열고 ‘LG유플러스 정보 유출·접속 장애 사고 원인과 조치방안’을 발표했다.
 

앞서 G유플러스는 올해 초 사이버 공격으로 모두 29만 명가량의 이용자 개인정보가 유출됐다는 것을 인지해 이를 경찰 등 관계기관에 신고했다. 올해 1월과 2월에는 디도스 공격으로 5회에 걸쳐 총 120분 동안 LG유플러스의 유선인터넷과 주문형비디오(VOD), 070전화 서비스에 장애가 있었다.

과기정통부는 한국인터넷진흥원과 고객정보 유출 사고 원인을 분석한 결과, 고객인증 시스템에 암호, DB(데이터베이스) 접근제어 미흡 등의 취약점이 있었던 것으로 확인했다. 또 대용량 데이터 이동 등 실시간 탐지체계가 없었던 것도 고객정보 유출의 원인으로 지목됐다. 

과기정통부는 LG유플러스에서 2018년 6월경 생성된 29만7117명분의 개인 정보가 고객 인증 시스템에서 유출됐을 것으로 추산했다. 개인 정보 399명분이 더 유출됐지만 신원 확인이 불가능했다.

과기정통부는 “유출 경로는 2018년 당시 시스템과 DB 접속 등에 대한 로그 정보가 의무 보존 관리 기간을 넘긴 탓에 거의 남아 있지 않아 로그 분석을 통한 조사에는 한계가 있었다”고 말했다.

디도스 공격에 의한 해킹은 내부 라우터 장비의 외부 노출, 라우터 사이의 접근제어 정책 미흡, 주요 네트워크 구간에 보안장비 미설치 등이 원인이었던 것으로 파악됐다.

라우터는 서로 다른 네트워크를 연결해주는 장치다.

올해 초 LG유플러스 고객정보 2천만 건을 6비트코인에 판매한다는 글을 해킹 사이트에 올린 해커의 정체는 파악되지 않았다.

과기정통부는 “해커가 추가적인 고객 데이터를 가지고 있다고 단정하기는 어렵지만 유출 규모가 더 확대될 수 있는 가능성도 배제하기 어렵다”고 설명했다.

과기정통부는 고객정보 유출, 인터넷 접속장애 두 사고 모두 LG유플러스의 미흡한 정보보호 투자에서 비롯됐다고 결론을 내렸다.

2022년 통신사 정보보호 투자액을 비교해 보면 KT는 1021억 원, SK텔레콤은 860억 원을 사용했다.

반면 LG유플러스의 정보보호 투자금액은 292억 원에 그쳤다. 정보통신 투자액 대비 정보보호 비중도 3.7%에 불과했다.

이에 과기정통부는 LG유플러스에 보안장비 구축, 정보보호 예산 확대 등 시정조치를 요구했다.

LG유플러스는 향후 IT 자산 중요도에 따른 로그정책과 중앙로그관리시스템을 수립·구축하고 주기적인 점검을 수행해야 한다.

분기별로 1회 이상 모든 IT자산에 대한 보안 취약점을 점검, 제거하고 침해사고 예방·대응·분석 등에 활용할 수 있는 IT자산 통합관리시스템을 도입해 시스템 관리체계를 개선해야 한다.

과기정통부는 LG유플러스가 주요 보안인력을 경쟁사와 대등한 수준으로 보강하고 정보보호책임자를 최고경영자(CEO) 직속 조직으로 강화하도록 요구했다. 

또 LG유플러스는 외부기관을 통해 최근 사이버 위협 기반의 공격 시나리오를 개발하고 이에 맞는 맞춤형 모의훈련을 연 2회 이상 수행할 것을 요구했다. 외부기관이 진행하는 모의 침투 훈련에도 참여해야 한다.

LG유플러스는 2월16일 정보유출과 인터넷 서비스 오류를 겪은 고객들에게 사과하고 보안·품질 부문에 1천억 원을 투자하겠다고 발표했다. 현재 보안·품질 부문에 투자하는 규모의 3배 수준이다.

전사정보보호·개인정보보호책임자(CISO·CPO)를 최고경영자(CEO) 직속 조직으로 강화하고 각 영역별 보안 전문가를 영입해 역량을 강화하겠다고 밝혔다.
 
황현식 LG유플러스 대표이사 사장은 당시 “보안과 네트워크 분야에 더 많은 투자를 진행해 완벽한 체계를 구축하겠다”며 “관계기관 조사 등에 따라서 투자규모는 1천억 원보다 더 늘어나면 늘어나지 줄어들지는 않을 것”이라고 말했다. 나병현 기자