LGU+ 개인정보 유출 29만7117명 집계..."더 유출됐을 가능성 있어"

고객인증 DB에서 유출...탈퇴 회원 2만7000명 포함

LGU+ 정보보호 투자·인력, SKT·KT보다 크게 부족...시정 조치 요구

[사진=연합뉴스]

과학기술정보통신부와 한국인터넷진흥원(KISA)이 올해 초 발생한 LG유플러스 개인정보 유출과 디도스 공격으로 인한 인터넷 장애에 대한 조사결과를 27일 발표했다.

조사에 따르면 개인정보 유출의 경우 LG유플러스는 암호, 데이터베이스(DB) 접근제어 미흡 등의 문제로 인해 고객인증 시스템에 취약점이 있었고 대용량 데이터 이동 등 실시간 탐지체계도 없었던 것으로 드러났다. 이에 따라 2018년 6월 전후로 생성된 총 29만7117명의 고객 데이터가 LG유플러스 고객인증 시스템에서 유출된 것으로 추정된다. 초기에는 LG유플러스 고객 19만명의 정보가 유출된 것으로 알려졌으나, 추후 해지고객DB 등에서 현재 LG유플러스 고객이 아닌 이용자의 정보를 포함해 고객 11만명의 정보가 추가로 유출된 것을 확인했다.

정부가 피해 범위 확인을 위해 LG유플러스가 해커에게 비트코인을 주고 확보한 유출데이터 60만건을 분석한 결과 고객의 휴대전화번호, 성명, 주소, 생년월일, 암호화된 주민등록번호, 단말기 모델명, 이메일, 암호화된 비밀번호, 유심 고유번호 등을 통해 LG유플러스 고객 개인정보가 맞는 것으로 확인했다. 개인 정보가 유출된 곳은 고객인증 DB였다. 2014년 6월부터 2021년 8월까지 진행한 LG유플러스 사용자 계정 통합 과정에서 전체회원 DB와 해지고객 DB에선 정상적으로 삭제된 탈퇴 회원 정보가 작업 오류로 인해 고객인증 DB에는 남아있었고 이 가운데 2만7000건의 탈퇴 회원 정보가 이번에 유출됐다.

과기정통부는 "현재 파일만으로는 해커가 LG유플러스 고객 데이터를 추가로 가지고 있다고 단정하긴 어렵지만 유출 규모가 향후 더 확대될 수 있는 가능성도 배제하기 어렵다"고 밝혔다.

개인정보 유출 시점은 관련 시스템 기록이 없어 특정하기 어려운 관계로 2018년 6월 15일 03시 58분 이후라는 모호한 결론을 내렸다. 유출 경로도 관련 정보 부족으로 구체적인 원인 확인이 어려웠다. 개인정보보호법 제29조에 따르면 기간통신사업자의 개인정보처리시스템 접속기록 의무 보존 관리 기간은 2년에 불과하다. 이에 정부는 총 16개의 고객정보 유출 시나리오를 토대로 고객인증 DB 시스템의 취약점을 확인하고 △웹 관리자 계정 암호가 시스템 초기암호로 설정되어 있었고 △시스템에 웹 취약점이 있어 해당 관리자 계정으로 악성코드를 설치할 수 있었으며 △관리자의 DB접근제어 등 인증체계가 미흡해 해커가 악성코드를 이용해 파일을 유출한 것으로 추정했다.

유출된 개인정보로 인한 2차 피해 가능성은 낮은 것으로 조사됐다. 스미싱, 이메일 피싱, 불법로그인 유심 복제 등이 우려되지만, 불법로그인은 비밀번호가 암호화돼 있고 유심 복제는 실제 유심의 개인키가 있어야 하는 만큼 실제 피해가 일어날 확률은 적다는 게 과기정통부와 KISA 측 입장이다.

디도스 공격의 경우 내부 라우터 장비가 외부에 노출돼 있었고 라우터 간 접근제어 정책도 미흡했다. 또, 주요 네트워크 구간에 보안장비를 설치하지 않는 문제도 확인했다. LG유플러스는 외부 디도스 공격으로 인해 지난 1월 29일 3회(총 63분), 2월 4회 2회(총 57분) 등 총 2시간에 걸쳐 유선인터넷과 IPTV, 070 전화서비스 등에서 접속 장애를 일으켜 일반 이용자와 함께 PC방 등 소상공인이 관련 피해를 입었다.

LG유플러스는 경쟁사보다 정보보호 인력과 조직이 부족하고 정보보호에 대한 투자도 소홀했던 것으로 조사됐다. 2022년 이동통신 3사의 정보보호 투자액과 관련 인력은 △KT 1021억원, 336명 △SK텔레콤(SK브로드밴드 포함) 860억원, 305명 △LG유플러스 292억원, 91명 순으로 조사됐다.

이에 정부는 LG유플러스에 기술적 조치방안으로 분기별 보안 취약점 점검 및 제거, 실시간 모니터링 체계 및 IT 자산 통합 관리 시스템 구축, 보안장비 구축 등을 주문하며 정보보호 인력과 예산을 경쟁사 수준으로 확대하고 황현식 LG유플러스 대표 직속으로 정보보호 조직을 구성할 것으로 요구했다. 맞춤형 모의훈련과 주요 임원들이 보안 필수교육을 받아야 한다는 조치도 내렸다.

이종호 과기정통부 장관은 "기간통신사업자인 LG유플러스에 대한 조사 결과 여러 가지 보안 취약점이 확인됐고, 이에 대한 책임 있는 시정조치를 요구했다"며 "기간통신사업자는 침해사고가 국민 일상의 불편을 넘어 막대한 경제적 피해, 사회 전반의 마비 등을 야기할 수 있음을 엄중히 인식하고 사이버위협 예방과 대응에 충분한 투자를 함으로써 국민들의 안전한 디지털 서비스 이용을 보장해야 할 책무가 있다"고 밝혔다.