LG유플러스, 정보 유출 이유는 고작…'초기 비번 안 바꿔서' [정지은의 산업노트]
-
기사 스크랩
-
공유
-
댓글
-
클린뷰
-
프린트
30만 개인정보 유출 원인은 시스템 부재
정보보호 투자 통신 3사 중 꼴찌
LG유플러스 “정부 시정요구 최우선 이행”
정보보호 투자 통신 3사 중 꼴찌
LG유플러스 “정부 시정요구 최우선 이행”
올해 초 LG유플러스에서 발생한 약 30만 명 고객정보 유출은 데이터베이스(DB) 비밀번호 미변경 등 보안 시스템 부실에 따른 것이라는 정부 조사 결과가 나왔다. LG유플러스는 정부의 시정 요구를 이행하고 재발 방지에 집중하기로 했다.
점검단은 개인정보 유출 경로로 고객인증 DB(데이터베이스) 시스템을 지목했다. 2018년 6월 이후 LG유플러스의 고객인증 DB 시스템은 웹 관리자 계정 암호가 시스템 초기암호 ‘admin’로 설정돼 있던 것으로 조사됐다. admin은 비밀번호 초기값으로 많이 쓰인다. ‘0000’ ‘1234’와 더불어 해커들이 제일 먼저 입력해보는 비밀번호이기도 하다.
홍진배 과기정통부 네트워크정책실장은 “관리자 DB접근제어 등 인증체계도 미흡했다”며 “해커가 악성코드를 설치해 파일을 쉽게 가져갈 수 있었을 것”이라고 말했다. 일각에서 제기된 ‘화웨이 장비를 통한 유출 가능성’은 낮다는 얘기다. 점검단은 고객정보 등이 포함된 대용량 데이터가 외부로 유출되고 있음에도 LG유플러스엔 이를 실시간으로 감시하고 통제할 수 있는 자동화된 시스템이 없었다고 밝혔다. 홍 실장은 “네트워크 내·외부 대용량 데이터 이동 등 이상 징후를 탐지하고 차단할 수 있는 실시간 감시체계가 부재했다”며 “시스템별 로그 저장 기준과 보관기간도 불규칙했다”고 했다. 올해 초 발생한 디도스 공격은 내부 라우터 장비 외부 노출, 라우터 간 접근제어 정책 미흡, 주요 네트워크 구간 보안장비 미설치 등이 원인으로 분석됐다.
과기정통부는 통신업계의 유사 사고 재발 방지를 위해 사이버위기 예방·대응 체계를 개편하고 관련 제도 개선을 추진하기로 했다. 국내 기업을 대상으로 활동하는 해커조직을 선별, 추적해 사이버공격이 발생하기 전에 수사기관 등과 공조해 대응할 수 있도록 하는 ‘능동적 사이버 공격 추적체계’도 도입할 계획이다. 아울러 침해사고 사실을 알리지 않는 사업자에 대한 과태료 부과 상한선을 기존 1000만원에서 2000만원으로 늘리도록 법령 개정도 추진한다.
LG유플러스는 이날 입장문을 통해 “과기정통부의 원인 분석 결과에 따른 시정 요구사항을 전사적인 차원에서 최우선으로 수행하겠다”며 “올해 초 발생한 정보유출과 인터넷 접속 오류로 인해 불안과 불편을 느끼셨을 고객분들께 다시 한번 사과드린다”고 했다. LG유플러스는 지난 2월 최고경영자(CEO) 직속의 사이버안전혁신추진단을 구성했다.
정지은 기자 jeong@hankyung.com
○시스템 미흡…해커 공격 취약
과학기술정보통신부는 27일 정부서울청사에서 브리핑을 열고 ‘LG유플러스 정보 유출·접속 장애 사고 원인 분석 및 조치 방안’을 발표했다. 과기정통부와 한국인터넷진흥원(KISA) 등으로 구성된 특별조사점검단은 LG유플러스 2018년 6월께 생성된 29만7117명분 개인정보가 흘러나간 것으로 추정했다.점검단은 개인정보 유출 경로로 고객인증 DB(데이터베이스) 시스템을 지목했다. 2018년 6월 이후 LG유플러스의 고객인증 DB 시스템은 웹 관리자 계정 암호가 시스템 초기암호 ‘admin’로 설정돼 있던 것으로 조사됐다. admin은 비밀번호 초기값으로 많이 쓰인다. ‘0000’ ‘1234’와 더불어 해커들이 제일 먼저 입력해보는 비밀번호이기도 하다.
홍진배 과기정통부 네트워크정책실장은 “관리자 DB접근제어 등 인증체계도 미흡했다”며 “해커가 악성코드를 설치해 파일을 쉽게 가져갈 수 있었을 것”이라고 말했다. 일각에서 제기된 ‘화웨이 장비를 통한 유출 가능성’은 낮다는 얘기다. 점검단은 고객정보 등이 포함된 대용량 데이터가 외부로 유출되고 있음에도 LG유플러스엔 이를 실시간으로 감시하고 통제할 수 있는 자동화된 시스템이 없었다고 밝혔다. 홍 실장은 “네트워크 내·외부 대용량 데이터 이동 등 이상 징후를 탐지하고 차단할 수 있는 실시간 감시체계가 부재했다”며 “시스템별 로그 저장 기준과 보관기간도 불규칙했다”고 했다. 올해 초 발생한 디도스 공격은 내부 라우터 장비 외부 노출, 라우터 간 접근제어 정책 미흡, 주요 네트워크 구간 보안장비 미설치 등이 원인으로 분석됐다.
○정보보호 투자 SKT·KT 절반도 안 돼
점검단은 LG유플러스에 정보보호 인력·예산을 다른 통신사 수준으로 확대하라고 요구했다. 핵심 서비스와 내부정보 등을 보호하기 위한 전문인력이 부족하고, 정보보호 조직의 권한과 책임도 미흡했다는 지적이다. 지난해 통신3사 정보보호 투자금액은 KT(1021억원) SK텔레콤(860억원) LG유플러스(292억원) 순이다. 정보보호 인력도 KT(336명)와 SK텔레콤(305명)에 비해 LG유플러스는 91명에 그쳤다.과기정통부는 통신업계의 유사 사고 재발 방지를 위해 사이버위기 예방·대응 체계를 개편하고 관련 제도 개선을 추진하기로 했다. 국내 기업을 대상으로 활동하는 해커조직을 선별, 추적해 사이버공격이 발생하기 전에 수사기관 등과 공조해 대응할 수 있도록 하는 ‘능동적 사이버 공격 추적체계’도 도입할 계획이다. 아울러 침해사고 사실을 알리지 않는 사업자에 대한 과태료 부과 상한선을 기존 1000만원에서 2000만원으로 늘리도록 법령 개정도 추진한다.
LG유플러스는 이날 입장문을 통해 “과기정통부의 원인 분석 결과에 따른 시정 요구사항을 전사적인 차원에서 최우선으로 수행하겠다”며 “올해 초 발생한 정보유출과 인터넷 접속 오류로 인해 불안과 불편을 느끼셨을 고객분들께 다시 한번 사과드린다”고 했다. LG유플러스는 지난 2월 최고경영자(CEO) 직속의 사이버안전혁신추진단을 구성했다.
정지은 기자 jeong@hankyung.com