과기부 “LG유플러스, 정보유출·디도스 피해 정보보호 투자 미흡 탓”
LG유플러스, 정보보호 투자·인력 KT·SK텔레콤 대비 30% 수준
[뉴스포스트=이상진 기자] LG유플러스가 올해 초 발생한 고객정보 유출과 인터넷 접속 오류 등에 대해 다시 한 번 사과드린다고 27일 밝혔다.
이날 LG유플러스는 “사고 발생 시점부터, 사안을 심각하게 받아들이고 있으며 과학기술정보통신부의 원인 분석 결과에 따른 시정 요구사항을 전사적인 차원에서 최우선으로 수행할 예정”이라고 전했다.
지난 2월 LG유플러스는 대량의 고객정보가 유출된 이후 CEO 직속의 사이버안전혁신추진단을 구성하고 △사이버 공격에 대한 자산 보호 △인프라 고도화를 통한 정보보호 강화 △개인정보 관리 체계 강화 △정보보호 수준 향상 등 4대 핵심 과제에 102개 세부 과제를 선정해 수행하고 있다. LG유플러스에 따르면 위 사업 추진을 위한 1000억 원 규모의 대규모 투자를 진행하고 있다.
실제 LG유플러스는 개인정보 유출 사고 직후 개인정보 보호 및 디도스 방어를 위한 긴급 진단과 보안 장비(IPS) 및 솔루션 도입, 클라우드를 활용한 서비스의 긴급 점검, 접근제어 정책(ACL) 강화 등을 조치했다. 또 IT 통합 자산관리 시스템과 AI 첨단기술을 적용한 모니터링, 중앙 로그 관리 시스템, 통합관제센터 구축에 대한 세부 과제도 착수한 상황이다.
LG유플러스 관계자는 “새롭게 임명되는 CISO, CPO를 주축으로 개인정보를 비롯한 전사적인 정보보호 강화 활동을 지속할 예정”이라며 “진행상황은 단계별로 투명하게 공개하고, 종합적 보안 대책은 추후 상세히 설명하는 시간을 갖겠다”고 말했다.
그러면서 “뼈를 깎는 성찰로 고객들에게 더 깊은 신뢰를 주는, 보안, 품질에 있어 가장 강한 회사로 거듭나겠다”며 “다시 한번 진심으로 사과드린다”고 전했다.
한편 이날 과기부는 ‘LGU+ 침해사고 원인 분석 및 조치 방안’을 발표했다. 과기부 발표에 따르면 LG유플러스 고객정보 유출 경로는 ‘고객 인증 데이터베이스(DB)’다. 유출 시점은 2018년 6월 15일 새벽 3시 58분 직후로 추정된다.
과기부는 “LG유플러스의 당시 고객인증 DB 시스템은 웹 관리자 계정 암호가 시스템 초기 암호로 설정돼 있었고, 시스템에 취약점이 있어서 관리자 계정으로 악성 코드를 설치할 수 있었다”고 분석했다. 관리자의 DB 접근제어 등 인증 체계가 미흡해 악성 코드를 이용한 파일 유출이 가능했다는 설명이다.
과기부에 따르면 LG유플러스의 미흡한 보안관리 시스템으로 모두 29만 7117명의 휴대전화 번호와 이름, 주소, 생년월일, 이메일, 유심(USIM) 고유번호 등 고객정보가 유출됐다. 이에 따른 스미싱, 이메일 피싱 등 2차 피해 가능성도 있는 상황이다. 또 2020년 기준 LG유플러스의 정보보호 투자액은 292억 원, 정보보호 인력은 91명에 불과했다. 이는 같은 기간 경쟁사인 KT(1021억 원, 336명)와 SK텔레콤(860억 원, 305명) 등의 30% 수준이다.
이종호 과기부 장관은 “기간통신사업자인 LG유플러스에 대한 조사·점검 결과 여러 가지 취약점이 확인됐다”며 “기간통신사업자는 침해사고가 국민 일상의 불편을 넘어 막대한 경제적 피해와 사회 전반의 마비 등을 발생시킬 수 있다는 것을 인식하고 사이버 위협 예방 및 대응에 충분한 투자와 노력을 다해야 할 책무를 명심해야 한다”고 지적했다.