[일문일답] LGU+ 개인정보유출 정확한 규모와 시점은? 추가 조치 있나?

[아이뉴스24 박소희 기자] 과학기술정보통신부(장관 이종호)는 최근 발생한 LG유플러스 고객정보유출 및 분산서비스거부공격(DDoS) 사태로 인한 장애 원인 분석 결과 사측 인증시스템·보안장비·정보보호 투자 등이 미흡했던 것으로 나타났다고 27일 밝혔다.

특히 가장 많은 유출이 발생한 고객인증 데이터베이스(DB) 시스템 관리자 계정 암호는 초기 설정(Admin) 그대로 사용됐던 것으로 파악됐다.

이날 오전 과기정통부는 서울시 종로구 소재 정부서울청사에서 'LGU+ 침해사고 원인분석 및 조치방안' 관련 브리핑을 열고 해당 사실을 언급했다.

다음은 홍진배 과기정통부 네트워크정책실장, 최광희 한국인터넷진흥원 사이버침해대응본부장과의 질의응답.

Q> 개인정보 유출규모가 왔다갔다 한다. 경찰에서는 39만6천 명이라는 이야기도 나오는데 무엇이 맞는 이야긴가.

A>(홍진배 과기정통부 네트워크정책실장) 유출규모는 현재로선 파악된 것을 근거로 해서 시스템 대조를 모두 해 본 결과 29만7천117건으로 특정했다. 개인정보위와 함께 계속해서 확인 작업을 진행한 사안이다. 현재 경찰청에선 관련 수사를 별도로 진행 중이다.

Q> 특별점검단 운영은 아예 끝난 건가.

A>(홍진배 과기정통부 네트워크정책실장) 일차적으론 조사할 수 있는 부분은 다 한 것이다. 추후에는 아까 말씀드렸듯 이미지 파일들이 아직 올라와 있기 때문에 추가 발생 가능성을 대비해 가능성을 열어 두고 계속 대응 체제를 유지, 운영할 것이다.

Q> LGU+ 정보유출 인지 시점이 정확히 언젠가. 개인정보보호법에 따르면 유출 인지 시점에서 지체 없이 고객에 알려야 하는데, 한참 늦은 듯 하다. 개보법 위반이라 볼 수 있나?

A>(홍진배 과기정통부 네트워크정책실장) 인지시점은 지난 1월 2일, 고객들에 통지한 것이 같은 달 10일이다. 이에 대해선 개보위에서 고객통지의 적정값에 대해서 별도 조사중인 것으로 안다.

Q> 유출규모를 키운 것에는 해지 고객 데이터도 한 몫을 한 듯하다. 해지고객 정보보유기간인 5년을 넘긴 사실이 있나? 해지고객 DB에서 삭제한 것이 고객인증 DB에 남아있었다는데 설명 부탁한다.

A. (최광희 한국인터넷진흥원 사이버침해대응본부장) 위법성 여부는 구체적으로 개보위에서 별도 조사중이다. 개보법에 따라서 탈퇴회원도 개별법에서 요구하는 경우 해지고객 정보를 일정기간 보유할 수 있다. 전자상거래보호법이나, 구체적 법률 따라 5년까지, 개별법 요구 기간까지 보유 가능하다. 해지고객정보 자체를 보유했다는 것으로 위법이라 보긴 어렵다.

Q> 당초 LGU+가 알린 개인정보 유출 고객이 18만명이다. 이후 해지고객 11만명에 대해 다시 알렸다. 3주 넘게 유출사실을 공지하지 않았고, 정부도 문제삼지 않았다. 앞으로 늑장 신고나 축소 발표시 정부서 조치하는 것이 있나. 과태료 부과에 대해선 신고하지 않은 것만 얘기했는데 추가 조치는?

A>(홍진배 과기정통부 네트워크정책실장) 두가지로 구분해서 볼 수 있다. 침해사고 신고에 대해선 법에서 제도개선이 필요한 것이 될 듯하다. 말씀하신 것은 개보법에 따라서 개보위가 통지 적정하게 이뤄졌는지에 대해 살펴보고 있는 사안이다. 적절하게 이뤄졌는지 여부는 추후 개보위에서 판단해서 따로 말씀드릴수 있을 듯하다.

Q> 자료를 보면 원인이 모두 추정이다. 확실히 확인된 사실이 없고 추정이 많다. (주체가) 미상의 해컨데, 확실한지도 모르겠고 디도스 공격자도 못 찾은 듯 하다. 혹 추후 원인이 다시 발견되면 그때 시정조치하나?

A>(홍진배 과기정통부 네트워크정책실장) 두가지로 나눠 볼 수 있다. 고객정보 유출의 경우 유출 경로를 찾으려고 하면 (정보가) 어느 시스템에서 나갔느냐를 봐야 한다. 추정이라기보단 확인에 가까운 수준이라 볼 수 있다. 이를 보려면 각 시스템에서 시스템 로그들이 다 남아 있어야 접속번호를 계속 추적할 수 있다. 시스템로그 보존기간이 2년이다. 지금은 시점자체가 5년이 흐른 상태라 시스템 로그가 없다. 그 상황에서 가상의 시나리오를 얘기할 수는 없다. 다만 당시 외부기관에서 분석했던 취약점 분석보고서가 어드민 관리 계정에 대한 취약점, 그 다음 인증 서버에 대한 취약점을 그대로 지적을 하고 있었기 때문에 (해커가) 그대로 계정을 타고 들어가서 꺼내볼 수 있었을 것으로 본다. 16개 시나리오를 모두 분석했을 때는 가장 근거가 있는 시점으로 판단됐고, 전문가들과도 그렇게 분석해봤다는 말이다.

Q> LGU+ 사태가 1월에 발생했는데 3개월이 지났다. 중간에 언론 보도된 것과 큰 차이점이 없다. 공격자 혹은 가해자라고 하는 이들을 찾을 수 없는 건가.

A>(홍진배 과기정통부 네트워크정책실장) 공격자는 말씀드렸듯 경찰에서도 추적중이다. 공격자 찾는 작업은 다들 잘 알겠으나 경찰도 굉장히 백방으로 (노력)하지만 못 찾는 경우가 많다. 공격자들 찾거나 추가적인 증거가 나온다고 하면 당연히 분석할 계획이다. 일단 현재까지 최대한 많은 수치인 120개 시스템을 다 점검했고, 가장 근접한 근거를 찾아서 공격의 역추적을 해봤다고 보시면 될 듯하다. 공격자를 찾는 부분은 현재로선 경찰청에서도 심도있게 수사 진행 중이다.

Q> 언급하신 외부보고서가 작성된 시점이 2018년 6월이다. 처음 유출된 것으로 추정되는 시점도 비슷한 시점이다. 시기상 선후관계는 모르겠으나 'Admin' 초기암호로 비밀번호가 설정돼 있었단 것은 황당하다. 보고서까지도 있었는데 예방이 불가능했나.

A>(홍진배 과기정통부 네트워크정책실장) 분석은 6월에 시행된걸로 확인된다. 유사 시기고 그 유사시기에 취약점 있었기 때문에 이를 활용한 공격 가능했다는것도 설득력 있는 추정이라 보고 있다. 이후에 LGU+도 보안조치는 한 것으로 안다. 보고서 나오고 말을 한걸로 안다. 어떤 탐지시스템 같은 것이 없었기 때문에, 시스템서 (개인정보가) 나갔는지의 여부를 인지하지 못한 걸로 파악중이다.

Q> LGU+뿐 아니라 일단 (정보 유출)지적이 나오면 "우리에게서 나간게 아니다"라는 반응이 반복된다. 법제 개선을 한다는데 구체적으로 준비하고 있는 내용이 있나.

A>(홍진배 과기정통부 네트워크정책실장) 제도개선과 관련해선 기본적으로 침해사고 당한 기업들이 침해사고를 당한 사실자체를 노출시키지 않으려는 경향이 강하다. 완벽하게 그 행태를 바꿀순 없어도 침해사고를 신고받은 사실에 대해서 기본적으로 외부절차를 제안해 보고하도록 하고, 침해사고를 신고하지 않았을 때 과태료 같은 것도 상향해서 당근과 채찍 두가지를 병행해 침해사고 신고를 최대한 유도하려 한다. 사실 신고했다고 해서 그 사업자를 처벌치 않는다. 해당 조직도 피해자이기 때문에 그자체를 처벌하진 않는 것이다. 다만 첫번째 케이스처럼 개인정보 관리 부실히 했을땐 별도법에 따라 처벌한다. 어쨌든 침해사고 있을 땐 저희도 빨리 알려주는 게 좋다고 생각해 제도개선이 이뤄지게 하겠다.

Q> 소비자 입장서 30만 건에 자신의 정보가 포함됐는지도 관심사일 듯하다. 정보 유출 시점이 2018년 6월 15일 3시 58분으로 추정됐는데 이후 LGU+에 가입한 소비자 입장서 안전하다고 단정할 수 있나. 데이터 유출 시 이상징후 탐지·차단할 수 있는 실시간 감시체계를 권고나 명령이 아니라 강제로 도입하면 이런 사태 막을 수 있다는 생각도 든다. 현실적으로 어렵나.

A>(홍진배 과기정통부 네트워크정책실장) 사실 침해사고로부터 100% 안전하다는 단정은 저희도 기업도 단정이 어렵다. 다만 그때 나타난 취약점들은 기본적으로 보완 이뤄진 듯 하다. 조사과정에서 발견된 취약점도 이번에 (조사)하면서 보완했다. 다만 시정 요구에서도 했지만 운용 과정서 계속 취약점이 발생한다. 저희가 적어도 주기적으로 취약점 점검을 분기별 1회 이상, 모든 IT 자산에 대해 하도록 했다. AI 기반의 모니터링 체제, 중앙보고관리시스템도 광고했다. LG유플러스에서도 검토중이어서 지금보다 수준이 높아질 걸로 기대하고 있다.

Q> 디도스 공격 당시에도 PC방을 운영하는 사람들이 피해 호소했다. LGU+ 인터넷 망이 디도스 공격 이후 불안정하다는 사람들도 있는데, 파악된 이후에도 디도스 공격으로 인한 장애 있었나?

A>(홍진배 과기정통부 네트워크정책실장) 이때 두 차례 이후에도 디도스 공격 있었으나 IPS(대량 네트워크 트래픽이나 비정상 패킷을 감지해 출발지 IP를 차단하거나 패킷을 차단하는 보안조치를 수행하는 것) 등 조치로 이런 공격을 긴급히 커팅해 방어, 장애까진 이어지지 않은 것으로 판단했다. 공격자는 이후에도 약하다고 생각되면 공격하는 습성이 있기 때문에 조사 이후에는 긴급보안조치를 시행해서 방어한 케이스다.

Q> 디도스 공격 관련, 정보가 외부 노출됐다고 하는데 양태가 어떤건가. 정보가 어떻게 외부에 공개된 데이터인가.

A. (최광희 한국인터넷진흥원 사이버침해대응본부장) 라우터 정보 노출의 경우 라우터는 네트워크를 담당하는 중요기기이기 때문에 외부서 해당 정보를 식별할 수 없게 가려야 한다. LGU+는 노출된 상태였다. 점검 시점에는 정보가 노출돼 있었기 떄문에 해커도 라우터를 식별할 수 없는 상황이었다. 일반적으로 라우터는 신뢰할 수 있는 것끼리만 식별할 수 있도록 해야 하는데 그게 미흡했던 것이다.

Q> 디도스 공격이후 IP를 변경했다 했는데 소재지가 확인된 것이 있나.

A>(홍진배 과기정통부 네트워크정책실장) 일반적으로 해커들이 공격할 때, 공격하는 원점을 노출시키지 않기위해서 가짜 IP로 바꾸게 된다. 가짜 IP로 바꿔 공격하게 되면 경찰이나 조사하는 쪽에서 추적이 어렵다. 이번 공격들도 IP를 바꿔 공격해 경찰이 추적하기 어렵고 조사에 시간이 걸리는 상황이다.