[방송기술저널 백선하 기자] 과학기술정보통신부가 개인 정보 유출 및 인터넷 접속 오류로 논란이 있었던 LG유플러스의 사이버 침해 사고를 조사한 결과 웹 관리자의 계정 암호가 시스템 초기 설정 그대로였던 것으로 드러났다. 이 때문에 관리자 계정으로 악성코드를 설치할 수 있었고, 인증 체계도 미흡해 해커가 악성코드를 이용해 파일을 유출할 수 있었던 것으로 파악됐다.
과기정통부와 한국인터넷진흥원(KISA)은 4월 27일 LG유플러스의 사이버 침해 사고 원인을 분석하고, 예방 및 대응 체계를 점검해 관련 조치 사항을 담은 ‘LG유플러스 침해 사고 원인 분석 및 조치 방안’을 발표했다.
올해 초 18만 명에 달하는 고객 정보 유출로 논란이 일었던 LG유플러스는 1월 29일과 2월 4일 두 차례에 걸쳐 접속 장애가 발생하는 등 잇따른 문제로 소비자 불편을 야기했다. 당시 LG유플러스는 디도스 공격으로 추정되는 대용량 데이터가 유입되면서 접속 장애가 발생했다며, 접속 장애 인지 후 즉각 복구에 나서 서비스를 정상화했다고 밝혔다.
이에 과기정통부는 현장 조사를 실시하고, 원인 분석과 재발 방지 대책 방안을 찾아내기 위해 디지털 포렌식 등 외부 전문가를 포함한 ‘민관합동조사단’을 운영했는데 이후에도 디도스 공격이 반복해 발생하자 기존 조사단을 ‘특별조사점검단’으로 개편해 조사 및 점검을 진행했다.
과기정통부 특별조사점검단은 먼저 고객 정보 유출과 관련해 △(1단계) 해커로부터 입수한 유출 데이터 내용 분석 및 출처 확인 △(2단계) 유출 대상 시스템과 유출 규모 확인 △(3단계) 고객 데이터의 유출 시점 추정 △(4단계) 유출 경로 파악 △(5단계) 유출 데이터를 악용한 2차 피해 가능성 판단 등의 순으로 사고 원인을 분석했다.
LG유플러스 고객 정보는 △전체 회원 DB △부가 서비스에 대한 인증 기능을 수행하는 고객 인증 DB △회원 탈퇴 시 향후 소비자 분쟁을 고려해 별도 보관하는 해지 고객 DB 등 3개 시스템으로 구성돼 있는데, 과기정통부와 KISA는 유출 데이터의 분석 결과 고객 인증 DB가 가장 일치(유사)한 것으로 조사됐다. 유출 규모는 LG유플러스가 확보한 60만 건 중 동일인에 대한 중복 데이터를 제거한 결과 총 296,477명인 것으로 나타났다. 또 기존 60만 건에 포함되지 않은 새로운 고객 정보 1,039건도 추가 유출된 것으로 확인됐다. 다만 399건의 유출 여부는 확인이 불가능한 것으로 조사됐다. 그 결과 유출된 고객 정보는 총 297,117건으로 정리했다.
과기정통부 관계자는 “유출 경로를 파악하다 보니 고객 인증 DB 시스템의 웹 관리자 계정 암호가 초기 그대로 설정돼 있어 해당 관리자 계정으로 악성코드가 설치됐고, 관리자의 DB 접근 제어 등 인증 체계 미흡으로 해커가 악성코드를 이용해 파일을 유출해 나갈 수 있었을 것으로 추정한다”고 설명했다.
문제는 유출 데이터를 악용한 2차 피해다. 2차 피해는 스미싱, 이메일 피싱, 불법 로그인, 유심 복제 등이 있다. 과기정통부는 “불법 로그인은 비밀번호가 암호화돼 있고, 유심 복지는 실제 유심 개인키가 있어야 하기 때문에 피해 발생 가능성이 낮다”고 말했다.
유선 인터넷망 대상 디도스 공격에 대한 분석은 △(1단계) LG유플러스 대상 디도스 공격 발생 및 피해 현황 파악 △(2단계) 디도스 공격 특징 및 유형 파악 △(3단계) LG유플러스 피해 발생 원인 파악 등의 순으로 진행했다.
디도스 공격자는 네트워크를 구성하는 통신사의 라우터 장비를 대상으로 공격을 시도해 장애를 유발했다.
과기정통부는 “라우터 장비에 다량의 비정상 패킷이 유입됐고, CPU 이용률이 대폭 상승한 것으로 분석했다”며 “이번 디도스 공격은 자원 소진 공격 유형으로 보인다”고 말했다. 이어 “타 통신사는 라우터 정보 노출을 최소화하고 있으나 LG유플러스는 디도스 공격 전 약 68개의 라우터가 외부에 노출돼 있었다”며 “디도스 공격자가 포트 스캔을 통해 LG유플러스 라우터를 특정하고 노출된 포트를 대상으로 공격을 감행한 것으로 보인다”고 설명했다.
과기정통부에 따르면 일반적으로 접근 제어 정책(Access Control List)을 통해 라우터 간 통신 유형을 제한하고 있으나 LG유플러스 이러한 보안 조치가 미흡해 필수 통신 외에 신뢰할 수 없는 장비와도 통신이 가능한 상태로 운영하고 있었다. 또한 광대역 데이터망에 라우터 보호를 위한 보안 장비를 설치하지 않았던 부분도 지적했다.
과기정통부는 ▲(고객 정보 유출 관련) 비정상 행위 탐지 및 차단 대응 체계 부재 ▲(디도스 공격 관련) 네트워크 및 시스템 자산 보호 및 관리 미흡 ▲전문 보안 인력 및 정보 보호 투자 부족 ▲실효성 있는 보안 인식 제고 방안 및 실천 체계 부재 등을 지적하며 시정조치를 요구했다.
이종호 과기정통부 장관은 “LG유플러스에 대한 조사·점검 결과 여러 가지 취약점을 확인했다”며 “기간통신사업자는 침해 사고가 국민 일상의 불편을 넘어 막대한 경제적 피해, 사회 전반의 마비 등을 야기할 수 있음을 엄중히 인식하고 사이버 위협 예방 및 대응에 충분한 투자와 노력을 다함으로써 국민들의 안전한 디지털 서비스 이용을 보장해야 할 책무가 있다”고 말했다. 이어 “정부도 날이 갈수록 다양해지고 확대되고 있는 지능적·조직적 사이버 위협에 대비해 기존 정보 보호 체계를 보다 실효성 높은 체계로 강화해 국민들과 기업이 신뢰하는 안전한 디지털 서비스 강국을 구축해 나가겠다”고 강조했다.