LGU+ 유출경로 파악해보니…관리자 비번 'Admin' 상태였다 [IT돋보기]

[아이뉴스24 안세준,박소희 기자] 29만7천117명의 LG유플러스 고객 개인정보가 유출된 배경은 무엇일까. LG유플러스 고객인증 DB시스템의 보안이 취약했다는 지적이 제기됐다. 유출 경로를 파악한 결과 DB시스템 관리자 계정 암호가 시스템 초기 상태(Admin)였던 것으로 확인되면서다. LG유플러스는 뼈를 깎는 성찰을 통해 보안·품질에 있어 가장 강한 회사로 거듭나겠다는 방침이다.

◆"와이파이 공유기도 비번 바꾸는데"…고객인증 DB 비번 '초기상태'

27일 과학기술정보통신부(장관 이종호)에 따르면 LG유플러스 고객인증 DB시스템의 웹 관리자 계정 암호는 초기 상태로 설정돼 있었다. 시스템 제조사가 설정한 계정과 비밀번호를 변경 없이 유지했다는 것이다. 예를 들어 와이파이 공유기 제조사 A가 초기 설정한 계정과 암호 'Admin', 'A-Admin' 등을 그대로 유지했다. 과기정통부 관계자는 "해당 분야를 알고 있는 사람이라면 누구나 유추가 가능할 정도"라고 귀띔했다.

보안에 취약한 관리자 계정으로 공격자(해커)가 접근했고, 이를 통해 악성코드를 설치했다는 추측이다. 과기정통부는 관리자의 DB접근제어 등 인증체계가 미흡해 해커가 웹셸을 이용하고 파일을 유출했을 것으로 분석한다.

홍진배 과기정통부 네트워크정책실장은 27일 정부서울청사에서 열린 'LG유플러스 침해사고 원인분석 결과 및 조치방안' 브리핑에서 "파일 유출 시점은 관련 시스템의 로그가 남아있지 않아 특정하기 어려우나 유출 데이터의 마지막 업데이트는 2018년 6월15일임으로 해당 시점 직후 유출 파일이 생성된 것으로 추정된다"고 말했다.

이어 "고객정보가 유출될 수 있는 침해사고 시나리오를 마련하고 인터넷 연결 여부, 해킹에 악용되는 취약점 존재 여부, 접근제어 정책 적용 여부, 불필요한 파일 등 관리 여부 등 위협 판단기준에 따라 각각의 시나리오 검증을 진행했다"며 "이 과정에서 당시 고객인증 DB 시스템의 취약점을 확인했다"고 덧붙였다.

◆유선 인터넷망 장애 원인은 '디도스'…공격자, 외부 노출 라우터 노려

유선 인터넷망 장애는 디도스 공격이 원인인 것으로 파악됐다. LG유플러스 광대역 데이터망의 주요 라우터에 대한 디도스 공격으로 지난 1월29일과 2월4일 5회에 걸쳐 총 120분 간 유선인터넷, VOD, 070전화 서비스 등에 장애가 발생했다. 라우터란 서로 다른 네트워크를 중계해주는 장치를 말한다.

홍 실장은 "라우터 장비에 다량의 비정상 패킷이 유입됐고 (이로 인해) CPU 이용률이 대폭 상승한 것으로 분석된다. 이번 디도스 공격은 자원 소진 공격 유형"이라며 "세부적으로는 공격자가 'Syn Flooding' 기법을 활용해 공격 대상 라우터의 과부하를 유발시켰다"고 설명했다.

그러면서 "타 통신사는 라우터 정보 노출을 최소화하고 있으나 LG유플러스는 디도스 공격 전에 약 68개 이상의 라우터가 외부에 노출돼 있었다"며 "이에 따라 공격자는 포트 스캔을 통해 LG유플러스 라우터를 특정하고 노출된 포트를 대상으로 디도스 공격을 감행한 것으로 분석된다"고 말했다.

◆정부, 재발방지 대책 마련·시정조치 요구…LGU+ "전사적 차원서 수행할 것"

LG유플러스는 네트워크 내·외부 대용량 데이터 이동 등 이상 징후를 탐지하고 차단할 수 있는 실시간 감시체계가 부재했다. 정부는 LG유플러스에 메일 시스템에만 적용돼 있던 인공지능(AI) 기반 모니터링 체계를 고객정보처리시스템까지 확대하고, IT통합관리시스템을 도입해 시스템 관리체계를 개선토록 요구했다.

LG유플러스는 과기정통부의 원인 분석 결과 등에 따른 시정 요구사항을 전사적인 차원에서 최우선적으로 수행하겠다는 방침이다. LG유플러스는 화이트 해커 등 외부 전문가를 활용해 취약점을 점검하고 기술적 예방활동 강화, AI 기반 개인정보 탐지 시스템 구축 등을 위한 세부 과제를 수립·추진 중이다.

LG유플러스 측은 "정보 유출과 인터넷 접속 오류로 인해 불안과 불편을 느꼈을 고객들께 다시 한번 사과드린다. 사고 발생 시점부터 사안을 심각하게 받아들이고 있다. 현재 102개 세부 과제를 선정해 수행하고 있다"며 "이를 위한 1천억 규모 대규모 투자도 진행 중"이라고 언급했다.

이어 "새롭게 임명되는 CISO, CPO를 주축으로 개인정보를 비롯한 전사적인 정보보호 강화 활동을 지속할 예정"이라며 "외부에서 준 다양한 염려와 의견을 충분히 반영하고, 뼈를 깎는 성찰로 더 깊은 신뢰를 주는, 보안과 품질에 있어 가장 강한 회사로 거듭나겠다"고 강조했다.