올해 초 발생한 LG유플러스 분산서비스(DDoS: 디도스)공격 피해의 원인은 네트워크 패킷 경로를 지정하는 라우터 정보 노출 때문인 것으로 나타났다. 과학기술정보통신부는 LG유플러스가 이를 막기 위한 보안 장치를 설치하지 않았다며 분기별 보안 취약점 점검 등 시정을 요구했다.
과기정통부는 'LG유플러스 고객정보 유출·디도스 공격 원인 분석 및 대책'을 27일 발표했다. 이보다 앞서 올해 초 LG유플러스는 약 29만명의 고객정보가 유출되고, 총 5회에 걸쳐 디도스 공격을 받았다.
과기정통부는 디도스 공격이 LG유플러스 라우터 장비를 대상으로 집중됐다는 결론을 내렸다. 이 때문에 전국에서 네트워크 장애가 발생했다는 것이다. LG유플러스는 공격을 받기 전 약 68개 이상 라우터 정보가 외부에 노출된 것으로 조사됐다. 또 라우터 보호를 위한 침입방지시스템(IPS) 등 보안장비를 설치하지 않았다.
홍진배 과기정통부 네트워크정책실장은 “라우터 정보는 굉장히 중요해서 외부 노출을 최소화해야 한다”면서 “LG유플러스 라우터는 외부에서 탐지할 수 있어 해커들이 포트 스캔을 통한 (공격 대상) 특정이 용이했을 것”이라고 말했다. 홍 실장은 “IPS 같은 (보안) 보완 장치가 라우터에 붙어 외부에서 비정상 패킷 등 유입 등을 검증하고 제어해야 했지만 그렇게 되지 않았다”고 덧붙였다.
과기정통부는 LG유플러스에 분기별 1회 이상 모든 정보기술(IT) 보안 취약점을 점검·제거하고 IT 자산통합관리시스템 도입 등을 요구했다.
과기정통부는 고객정보 유출과 관련, 최종 피해 인원을 29만7117명으로 확인했다. 총 16개 시나리오를 통해 고객인증 데이터베이스(DB) 시스템 등에서 보안 취약점을 확인했다. LG유플러스는 고객정보 등 대용량 데이터가 외부 유출될 때 실시간 감시하고 통제 가능한 자동화 시스템이 부재한 것으로 조사됐다.
과기정통부는 LG유플러스에 인공지능(AI) 기반 모니터링 체계를 고객정보처리시스템으로 확대하고, IT 자산 중요도에 따라 로그정책과 중앙로그관리시스템을 수립·구축·점검토록 했다.
LG유플러스가 전문 보안인력과 정보보호 투자, 보안 인식 및 실천 체계가 미흡하다는 지적도 나왔다. 과기정통부는 정보보호책임자(CISO·CPO)를 최고경영자(CEO) 직속 조직으로 강화하고, 정보보호 예산 규모 확대를 요구했다. 또 C레벨 등 보안교육을 연 2회 이상 실시하고 실무 보안 매뉴얼을 개발해 관리토록 했다.
과기정통부는 사이버 침해 신속 대응을 위한 법·제도 개선을 추진한다. △자료 제출 요구 규정 명확화 △신고 내용 및 자료 보호 근거 마련 △조치 이행점검 규정 신설 등이다.
LG유플러스는 “과기정통부의 원인 분석 결과에 따른 시정 요구사항을 전사 차원에서 최우선으로 수행할 것”이라고 밝혔다. 회사는 28일 디도스 공격에 따른 네트워크 장애와 관련, 보상안을 발표할 예정이다.
류태웅기자 bigheroryu@etnews.com