[뉴스웍스=백진호 기자] 과학기술정보통신부가 27일 'LG유플러스 정보 유출·접속 장애 사고 원인과 조치방안'을 발표하며 "고객 정보 유출과 인터넷 접속 장애의 원인 모두 LG유플러스의 부족한 정보보호 투자"라고 밝혔다.

LG유플러스는 올해 초 사이버 공격으로 모두 29만명가량의 이용자 개인정보가 유출됐다는 사실을 인지해 경찰과 관계기관에 신고했다. 지난 1월과 2월에는 분산서비스거부공격(디도스) 공격으로 5회에 걸쳐 총 120분간 LG유플러스의 유선인터넷과 주문형비디오(VOD), 070전화 서비스에서 장애가 발생했다.

2022년 이동통신사 정보보호투자액을 보면 KT는 1021억원, SK텔레콤은 860억원을 썼다. 반면 LG유플러스의 정보보호투자금은 292억원이었다. 정보통신투자액 대비 정보보호비중은 3.7%에 그쳤다.

과기부는 LG유플러스에 보안장비 구축과 정보보호 예산 확대를 요구했다.

LG유플러스는 향후 IT 자산 중요도에 따른 로그 정책과 중앙로그관리시스템을 수립·구축하고, 주기적인 점검을 수행해야 한다. 분기별로 1회 이상 모든 IT 자산에 대한 보안 취약점을 점검·제거하고, 침해 사고 예방·대응·분석에 활용할 수 있는 IT 자산 통합관리시스템을 도입해 시스템 관리 체계도 개선해야 한다.

과기부는 LG유플러스가 주요 보안 인력을 경쟁사와 대등한 수준으로 보강하고, 정보보호책임자를 최고경영자(CEO) 직속 조직으로 강화할 것을 요구했다. LG유플러스가 외부 기관을 통해 최신 사이버 위협 기반의 공격 시나리오를 개발하고, 맞춤형 모의훈련을 연 2회 이상 수행하는 내용도 요구했다. 외부 기관의 모의침투훈련에도 참여해야 한다.

과기부와 한국인터넷진흥원(KISA)이 고객정보유출사고의 원인을 분석한 결과, 고객인증시스템에서 암호·데이터베이스 접근 제어 미흡 같은 취약점이 있었던 것으로 밝혀졌다. 대용량 데이터 이동 등의 실시간 탐지체계가 없었던 점도 정보 유출의 원인으로 꼽혔다.

과기부는 LG유플러스에서 2018년 6월경 생성된 29만7117명의 개인정보가 고객인증시스템에서 유출됐을 것으로 추정했다. 개인정보 399명분이 더 유출됐지만 신원 확인을 할 수 없었다. 디도스 공격에 의한 해킹의 원인은 내부 라우터 장비의 외부 노출, 라우터 간의 접근제어정책 미흡, 주요 네트워크 구간에 보안장비를 설치하지 않은 점이었다.

LG유플러스는 과기부의 발표에 대해 "과기부의 원인분석결과에 따른 시정 요구사항을 전사적 차원에서 최우선으로 수행할 예정"이라고 밝혔다.

LG유플러스는 이어 "지난 2월 CEO 직속의 사이버안전혁신추진단을 구성하고 사이버 공격에 대한 자산 보호, 인프라 고도화를 통한 정보보호 강화, 개인정보관리체계 강화, 정보보호 수준 향상이라는 4대 핵심 과제에서 102개 세부 과제를 선정해 수행하고 있다"며 "이를 위해 1000억원 규모의 투자도 진행 중"이라고 설명했다.

LG유플러스는 또 "사고 직후 개인정보보호와 디도스 방어를 위한 긴급 진단과 보안 장비(IPS)·솔루션 도입, 클라우드를 활용한 서비스 긴급 점검, 접근제어정책(ACL) 강화처럼 즉시 개선이 가능한 부분을 조치했다"며 "IT 통합자산관리시스템·인공지능(AI) 첨단기술을 적용한 모니터링·중앙로그관리시스템·통합관제센터 구축에 대한 세부 과제에도 착수했다"고 강조했다.

LG유플러스는 "새롭게 임명되는 CISO, CPO를 중심으로 개인정보를 비롯한 전사적인 정보보호 강화 활동을 지속할 예정"이라며 "진행 상황을 단계별로 투명하게 공개하고, 종합적 보안 대책을 추후 상세히 설명하겠다"고 말했다.