과학기술정보통신부는 LG유플러스의 고객정보 유출 사고와 디도스 공격의 원인으로 LG유플러스가 정보보호 인력 91명을 보유해 정보보호 관련 인력 부족한 점이 원인이 된 것으로 분석했다. 또 2022년 정보보호 투자액이 292억원으로, 정보통신 투자액 대비 정보보호의 비중이 3.7%에 그쳐 정보보호 투자액이 상대적으로 저조한 점도 이유가 된 것으로 평가했다. 이에 따라 정보보호 인력 및 예산을 타사 수준까지 확대할 것을 주문하고, CEO 직속 정보보호 조직을 구성하고 C레벨을 포함해 보안 필수교육을 진행할 것을 요구했다.

과기정통부와 한국인터넷진흥원(KISA)은 27일 서울 정부종합청사에서 가진 브리핑을 통해 LGU+의 사이버 침해사고 원인을 분석하고 조치사항을 담은 'LGU+ 침해사고 원인분석 및 조치방안'을 발표했다.

홍진배 과기정통부 네트워크정책실장은 "LG유플러스가 디도스 공격의 타깃이 된 것은 타 통신사는 라우터 정보 노출을 최소화하고 있지만, LG유플러스 외부에서 포트스캔이 탐지될 수 있는 라우터 68개 이상이 노출된 것으로 확인됐다"며 "공격자는 이 포트스캔으로 라우터를 특정하고 공격을 감행한 것으로 추정된다. LG유플러스에서 비정상 트래픽에 대해 검증해야 하는데, 트래픽 제어를 하지 못한 것이 초기 장애의 원인이 됐다"고 밝혔다.

과기정통부는 또 고객정보 유출의 원인으로 고객인증 시스템에 암호, DB접근제어 미흡 등 취약점이 있었고, 대용량 데이터 이동 등 실시간 탐지체계 부재가 원인으로 추정했다.

◆29만 7117명 고객정보 유출...디도스 공격은 '자원 소진 공격 유형'

과기정통부가 유출 데이터를 확인해보니 60만건은 DB 형태의 텍스트 파일로 26개의 컬럼으로 구성돼 있는데, 컬럼은 휴대전화번호, 성명, 주소, 생년월일, 암호화된 주민등록번호, 모델명, 이메일, 암호화된 비밀번호, USIM 고유번호 등이 있었다. 이 중, '교환기주소','서비스명'컬럼에서 LGU+의 고객정보로 판단할 수 있는 데이터를 확인해 실제로 LGU+의 고객정보가 맞음을 확인했다.

또 LG U+의 내부 고객정보 처리 시스템 약 120여대 이상을 분석해보니, 이 시스템 중 많은 고객정보를 저장·처리하는 시스템은 ▲전체회원 DB(UCube) ▲부가 서비스에 대한 인증 을 수행하는 고객인증 DB(CAS) ▲회원 탈퇴 시 향후 소비자 분쟁을 고려해 고객정보를 별도 보관하는 해지고객 DB 등 총 3개 시스템이었다.

과기정통부와 KISA는 유출데이터의 컬럼명(26개)과 3개 DB 각각의 컬럼명의 일치나 유사성을 분석했는데, 동일 컬럼명 22개, 유사 컬럼명 3개로 컬럼명이 가장 일치한 시스템은 '고객인증 DB'로 분석됐다.

유출규모와 관련해서는 29만 7117명의 고객정보(399명은 확인 불가능)가 유출됐음을 확인했다. 다만, 유출규모가 더욱 확대되는 가능성을 배제할 수는 없는 상황이다.

홍 실장은 "1차적으로 LG유플러스를 조사했다. 하지만 이미지 파일 같은 것이 올라와서 추가적으로 피해가 발생할 수 있는 가능성을 대비해 모니터링하고 대응할 계획"이라고 밝혔다.

유출데이터의 마지막 업데이트는 2018년 6월 15일 03시58분으로 해당 시점 직후 유출 파일이 생성된 것으로 추정된다.

디도스 공격은 1월 29일과 2월 4일 5회에 걸쳐, 총 120분 간 LGU+의 유선인터넷, VOD, 070전화 서비스에서 장애가 발생했다. 공격자는 1월 29일에 3회 총 63분 동안 해외 및 국내 타 통신사와 연동구간의 주요 네트워크 장비 게이트웨이 3대, 라우터 11대 등 14대를 대상으로 디도스 공격을 했다. 이에 따라 전국 대부분 지역에서 서비스 장애가 발생했다. 또 공격자는 2월 4일에도 2회 총 57분 동안 내부가입자망에서 일부 지역 엣지(Edge) 라우터 약 320대를 대상으로 디도스 공격을 했고, 해당 지역에 서비스 장애가 발생했다.

디도스 공격자는 통신사의 라우터 장비를 대상으로 공격을 시도해 네트워크 장애를 유발시켰다. 라우터 장비에 다량의 비정상 패킷이 유입됐고 CPU 이용률이 대폭 상승한 것으로 분석된다. 이번 디도스 공격은 '자원 소진 공격 유형'으로 분석된다.

홍 실장은 "디도스 공격을 2차례 받은 이후에도 디도스 공격은 더 진행됐지만 방어를 잘 해 장애로는 이어지지 않았다"고 설명했다.

◆과기정통부, LG U+ 보안인력 타 통신사와 대등한 수준까지 보강 요구

과기정통부는 정보유출과 관련해 LGU+의 비정상 행위 탐지·차단 대응체계 부재 때문이었다고 결론지었다.

과기정통부측은 "LGU+는 고객정보 등이 포함된 대용량 데이터가 외부로 유출될 때, 비정상 행위 위험성을 실시간으로 감시하고 통제할 수 있는 자동화된 시스템이 없었다"며 "네트워크 내·외부 대용량 데이터 이동 등 이상 징후를 탐지하고 차단할 수 있는 실시간 감시체계가 부재했다. 시스템별 로그 저장 기준과 보관기간도 불규칙했다"고 밝혔다.

이에 따라 LGU+에 메일시스템에만 적용되어 있는 AI(인공지능) 기반 모니터링 체계를 고객정보처리시스템까지 대상을 확대하도록 했다.

또 디도스 공격 관련해 과기정통부는 LGU+에 분기별로 1회 이상 모든 IT 자산에 대한 보안 취약점을 점검하고 제거해야 한다고 요구했다.

과기정통부는 또 LGU+의 핵심 서비스와 내부정보 등을 보호하기 위한 전문인력이 부족하고, 정보보호 조직의 권한과 책임도 미흡하다고 평가했다. 특히, IT 및 정보보호 관련 조직이 여러 곳에 분산되어 있어 긴급 상황 발생 시, 빠른 의사결정에 어려움이 있었다고 판단했다.

과기정통부는 주요 보안인력을 타 통신사와 대등한 수준으로 보강하고, 정보보호책임자(CISO·CPO)를 CEO 직속 조직으로 강화해 전문화된 보안조직 체계를 구성해야 한다고 강조했다. 또 정보보호 강화에 필요한 예산 규모를 타 통신사와 대등한 수준 이상으로 확대하도록 요구했다.

홍 실장은 "기업들이 침해사고를 당한 사실 자체를 노출시키지 않으려는 게 강하다. 침해사고를 신고받은 사실에 대해 외부 노출을 제한하고 신고하지 않는 것에 대해 처벌을 강화할 계획"이라고 밝혔다.