LGU+, 보안 인력 및 투자 미흡 도마위…“정보보안 실시간 감시체계 부재”

시간 입력 2023-04-27 14:44:10 시간 수정 2023-04-27 14:44:10
  • 페이스북
  • 트위치
  • 카카오
  • 링크복사

과기정통부·KISA, ‘LGU+ 침해사고 원인 및 조치방안’ 발표
LGU+ “시정 요구사항, 전사적 차원에서 최우선 수행”

<출처=연합뉴스>

정부가 LG유플러스 고객정보 유출과 디도스 공격 사태 발생 원인 중 하나로 안보 전문인력이 부족하고 정보보호조직의 권한과 책임이 미흡했다고 지적했다. LG유플러스는 이를 보완하기 위해 전사정보보호·개인정보보호책임자(CISO·CPO)를 중심으로 정보보호체계를 강화하고, 1000억원대 대규모 투자를 진행하고 있다.

27일 과학기술정보통신부와 한국인터넷진흥원(KISA)이 올해 초 발생한 LG유플러스 개인정보 유출과 디도스 공격으로 인한 인터넷 장애에 대한 조사결과를 발표했다.

과기정통부와 KISA는 LG유플러스의 고객정보 대량 유출을 중대한 침해사고로 판단해 지난 1월 11일부터 현장조사를 실시하고, 원인분석과 재발방지 대책 마련을 위해 외부 전문가를 포함한 ‘민관합동조사단’을 구성했다. 이후 디도스(DDoS) 공격으로 유선 인터넷 등 접속 장애가 반복되자 기존 조사단을 ‘특별조사점검단’으로 개편해 2월 6일부터 조사 및 점검을 수행해왔다.

조사에 따르면, 개인정보 유출규모는 LG유플러스가 지난 1월 2일 최초 확보한 60만건 중 동일인에 대한 중복 데이터를 제거해 총 29만6477명의 데이터와 LG유플러스가 해커로부터 추가로 확보한 이미지로 된 데이터에서 기존 60만건에 포함되지 않은 새로운 고객정보 1039명을 추가로 확인했다. 따라서 모든 확보 데이터를 3개 DB 시스템의 현재 데이터와 비교한 결과, 29만7117명의 고객정보(399명은 확인이 불가능)가 유출됐다.

LG유플러스는 고객정보 등이 포함된 대용량 데이터가 외부로 유출되는 과정에서 이러한 비정상 행위의 위험성을 실시간으로 감시하고 통제할 수 있는 자동화된 시스템이 없었던 것으로 나타났다. 네트워크 내·외부 대용량 데이터 이동 등 이상 징후를 탐지하고 차단할 수 있는 실시간 감시체계가 없었다는 말이다. 또한 시스템별 로그 저장 기준과 보관기간도 불규칙했다.

LGU+ 주요 고객정보 처리시스템 개요도. <출처=과기정통부>

디도스 공격 관련해서는 이전에도 약 68개 이상의 라우터 정보가 외부에 노출되는 등 주요 네트워크 정보가 외부에 많이 노출돼 있어 이를 악용한 공격이 가능했다. 또한 네트워크 각 구간에 침입 탐지·차단 보안장비가 없었고 전사 IT 자원에 대한 통합 관리시스템도 부재했다.

조사단은 LGU+는 핵심 서비스와 내부정보 등을 보호하기 위한 전문인력이 부족하고, 정보보호 조직의 권한과 책임도 미흡했다고 봤다. 특히 IT 및 정보보호 관련 조직이 여러 곳에 분산돼 있어 긴급 상황 발생 시, 유기적인 대응 및 빠른 의사결정에 어려웠다고 판단했다. 타 통신사 대비 보안투자가 상대적으로 저조한 점을 지적하기도 했다.

이번 조사결과에 대해 LG유플러스 측은 “사고 발생 시점부터, 사안을 심각하게 받아들이고 있으며 과기정통부의 원인 분석 결과에 따른 시정 요구사항을 전사적인 차원에서 최우선으로 수행할 예정”이라고 밝혔다.

LG유플러스는 지난 2월 CEO 직속 사이버안전혁신추진단을 구성하고 △사이버 공격에 대한 자산 보호 △인프라 고도화를 통한 정보보호 강화 △개인정보 관리 체계 강화 △정보보호 수준 향상 등 4대 핵심 과제에 102개 세부 과제를 선정해 수행하고 있다. 이를 위해 1000억 규모의 대규모 투자도 진행 중이다.

LG유플러스 측은 “새롭게 임명되는 전사정보보호책임자(CISO), 개인정보보호책임자(CPO)를 주축으로 개인정보를 비롯한 전사적인 정보보호 강화 활동을 지속할 예정”이라며 “진행상황은 단계별로 투명하게 공개하고, 종합적 보안 대책은 추후 상세히 설명하는 시간을 갖겠다”고 말했다.

[CEO스코어데일리 / 김동일 기자 / same91@ceoscore.co.kr]

댓글

[ 300자 이내 / 현재: 0자 ]

현재 총 0개의 댓글이 있습니다.