LG유플러스 해킹사건에 대한 정부 조사 결과 2018년 6월 무렵 ‘고객인증 데이터베이스(DB)’에서 29만7117명의 고객 개인정보가 유출된 것으로 나타났다.
특히 고객인증 DB의 관리자 계정 암호를 새로 바꾸지 않은 채 초기암호로 방치한 바람에 해킹에 노출된 것으로 드러났다. 이에 해커는 어렵지 않게 원격으로 웹서버에 공격 명령을 실행하는 ‘웹셸’ 방식으로 정보를 탈취한 것으로 추정된다.
게다가 LG유플러스에는 대용량 데이터 외부 유출 시 비정상 행위를 실시간 감시할 수 있는 시스템이 없는 것도 문제였다.
과학기술정보통신부와 한국인터넷진흥원(KISA)은 27일 정부서울청사에서 ‘LG유플러스 사이버 침해사고 원인분석 및 조치방안’을 발표하고 해킹당한 개인정보가 LG유플러스 고객정보가 맞다고 밝혔다.
LG유플러스가 해커로부터 확보한 데이터 60만건은 데이터베이스(DB) 형태의 텍스트 파일로 26개 칼럼으로 구성돼 있다. 칼럼은 휴대전화번호, 성명, 주소, 생년월일, 주민등록번호, 모델명, e메일, 비밀번호, 가입자식별장치(USIM) 고유번호 등이다. 이 가운데 교환기주소, 서비스명 칼럼에서 LG유플러스 고객정보로 판단할 수 있는 데이터가 발견됐다.
정부는 부가서비스 인증 기능을 수행하는 ‘고객인증 DB’에서 정보가 유출됐다고 했다. LG유플러스의 개인정보 처리 시스템은 전체 고객정보를 보관하는 ‘전체회원 DB’, 부가 서비스에 대한 인증 기능을 수행하는 ‘고객인증 DB’, 회원 탈퇴 시 소비자 분쟁을 고려해 별도 보관하는 ‘해지고객 DB’ 등 3개 시스템이다. 유출 데이터 칼럼명과 DB 각각의 유사성을 분석했는데 가장 일치하는 시스템이 ‘고객인증 DB’였다.
피해 인원은 29만7117명에 달한다. LG유플러스가 확보한 60만건의 개인정보 가운데 동일인 중복 데이터를 제거해 29만6477명의 정보를 확인했다. 또 LG유플러스가 해커로부터 추가로 확보한 이미지로 된 데이터에서 1039명의 정보를 새로 확보했다. 다만 이 중 399명의 정보는 DB에서 정확히 확인되지 않았다.
홍진배 과기정통부 네트워크정책실장은 “해커가 고객 데이터를 더 갖고 있다고 단정하기 어려우나 유출 규모가 확대될 수 있는 가능성도 배제하기 어렵다”고 말했다.
허술한 고객정보 ‘관리자 계정’ 단속
정부는 LG유플러스 ‘고객정보 변경시간’ 칼럼 값을 근거로 판단할 때 파일 유출 시점은 마지막 업데이트가 이뤄진 2018년 6월15일 오전 3시58분 직후로 보인다고 밝혔다. 그러면서 해커가 원격으로 공격 대상 웹서버에 명령을 실행하는 형태의 웹셸 방식을 이용해 개인정보를 탈취했을 것으로 추정했다.
당시 고객인증 DB는 웹 관리자 계정 암호가 시스템 초기암호로 설정돼 있었다. 비밀번호를 시스템 개발시 편의상 설정해둔 ‘admin(관리자)’ 같은 형태로 두고 바꾸지 않았다는 뜻이다.
이 때문에 누군가 관리자 계정에 웹셸 같은 악성코드를 설치할 수 있었다. 다만 정확한 유출 경로는 2018년 당시 DB 접속 로그 정보가 거의 남아 있지 않아 조사에 한계가 있었다. 해킹 사이트에 LG유플러스 고객정보 3000만건을 6비트코인(약 1억7000만원)에 판매한다는 글을 올린 해커의 정체는 경찰에서 쫓고 있다.
네트워크 장비 ‘보안조치 미흡’ 디도스 공격 초래
올해 초 LG유플러스 서비스 장애를 일으킨 분산서비스거부(DDos·디도스) 공격은 서로 다른 네트워크를 연결하는 장비인 라우터에 과부하를 유발하는 수법이 활용됐다. 디도스 공격 당시 LG유플러스는 68개 이상의 라우터 정보가 외부에 노출돼 있었고, 이들은 신뢰할 수 없는 장비와 통신이 가능한 상태였다.
공격자는 ‘포트 스캔’을 통해 LG유플러스 라우터를 특정하고 노출된 포트를 대상으로 디도스 공격을 했다. 일반적으로 ‘접근제어 정책’을 통해 라우터 간 통신 유형을 제한하지만 이 같은 조치가 미흡했다.
정부 조사 결과 LG유플러스 광대역데이터망 라우터에 대한 디도스 공격으로 1월29일과 2월4일 총 5회에 걸쳐 120분간 유선인터넷, 주문형비디오서비스(VOD), 070전화 서비스에 장애가 발생했다. 공격자는 1월29일 3회에 걸쳐 63분 동안 주요 네트워크 장비 14대를 공격했고 전국적으로 서비스 장애가 발생했다. 2월4일에도 2회에 걸쳐 57분 동안 일부 지역 엣지 라우터 320대를 공격해 장애가 생겼다. 그러나 이 역시도 공격 IP가 변조돼 디도스 공격 주체가 누구인지 파악하지 못했다.
정보보호 예산·인력 경쟁사 대비 부족
또한 정부는 해킹으로 개인정보가 포함된 대용량 데이터가 외부로 유출될 때 이런 비정상 행위를 실시간으로 감시하고 통제할 수 있는 시스템이 LG유플러스에 없었다고 밝혔다.
디도스 공격은 네트워크 각 구간에 침입 탐지 보안장비가 없어서 생긴 문제라고 지적했다. 정보보호 전문인력이 부족하고, 관련 조직의 권한과 책임도 미흡했다. 지난해 LG유플러스의 정보보호 투자액과 담당 직원은 292억원에 91명으로 KT(1021억원, 336명)나 SK텔레콤(860억원, 305명)에 훨씬 못미친다.
LG유플러스는 현재 e메일 시스템에만 적용돼 있는 인공지능(AI) 기반 모니터링 체계를 고객정보처리시스템까지 확대할 계획이다. 뿐만 아니라 정보보호책임자(CISO·CPO)를 최고경영자(CEO) 직속으로 두는 한편 예산과 인력 규모를 경쟁사와 대등한 수준 이상으로 늘린다. 해킹과 디도스 공격으로 피해를 본 고객들을 대상으로 조만간 보상 원칙과 기준도 발표한다.
과기정통부 ‘개인정보 침해사고’ 규정 강화
과기정통부는 개별 기업의 침해사고를 보다 빠르게 파악할 수 있도록 자료 제출 요구에 관한 법령상 규정을 더욱 명확히 할 계획이다. 기존에는 사업자가 침해사고를 당하지 않았다고 주장하거나 사고 자체를 인지하지 못한 경우에는 자료 요구가 어려웠다. 아울러 침해사고 발생을 신고하지 않으면 과태료를 최대 2000만원까지 부과하도록 할 방침이다.
이종호 과기정통부 장관은 “기간통신사업자는 침해사고가 국민 일상의 불편을 넘어 막대한 경제적 피해, 사회 전반의 마비 등을 일으킬 수 있음을 엄중히 인식하고 충분한 투자와 노력을 다할 책무가 있다”며 “정부도 지능적·조직적 사이버 위협에 대비해 기존 정보보호 체계를 보다 실효성 높은 체계로 강화하겠다”고 말했다.