"고객DB 뚫리고 기초 보안장비도 없어"…정보보호 투자 꼴찌 LG유플러스 '예고된 참사'

LG유플러스, 정보보호 시스템 구멍
DB 관리 계정 암호는 '초기 암호'
기초 보안장비도 없고 인력부족

LG유플러스가 소비자 정보보호 분야에서 치명적인 약점을 가진 것으로 파악됐다. 사진은 서울 용산구 LG유플러스 용산 사옥. 연합뉴스 제공

LG유플러스 소비자 정보 보호 능력이 낙제점으로 확인됐다. 정보를 보호할 기본적인 장비조차 준비하지 않았고, 네트워크 관리 체계는 소규모 벤처스타트업보다 못한 수준이었다. 전문인력과 투자수준은 통신3사 중 꼴찌로 밝혀져 이번 사태가 '예고된 참사'라는 지적을 피할 수 없게 됐다. 앞서 회사는 올해 초 소비자 30만 명의 개인정보를 해커에게 빼앗겼고 수차례 분산서비스거부(디도스·DDOS) 공격을 받아 PC방 등 자영업자들의 피해가 발생했다.

고객인증 DB 관리계정 비밀번호 'admin'

홍진배 과학기술정보통신부 네트워크정책실장이 27일 서울 종로구 정부서울청사에서 'LG유플러스 침해사고 원인분석 결과 및 조치방안'을 발표하고 있다. 연합뉴스 제공

과학기술정보통신부는 서울 종로구 정부서울청사에서 'LG유플러스 침해사고 원인분석 결과 및 조치방안'을 27일 발표했다. 소비자 개인정보 유출의 경우 29만7,117명이 피해를 입었다. 휴대전화 번호·이름·주소·생년월일·암호화된 주민등록번호·휴대전화 모델명· 소비자 이메일·암호화된 비밀번호·유심(USIM) 고유번호 등 사실상 모든 개인 정보가 빠져나갔다고 과기정통부는 밝혔다.

정보가 새 나간 경로는 '고객인증 데이터베이스(DB)'로 파악됐다. 당시 회사 고객인증 DB 시스템 관리자 암호는 시스템 초기 암호인 'admin'이었다. LG유플러스는 시스템 운영을 위해 초기 암호를 더 높은 수준으로 바꿔야 하는 기초 작업조차 하지 않은 것. 정부는 해커가 DB의 허술함을 틈타 관리자 계정으로 악성코드를 설치해 정보를 빼내간 것으로 봤다.

LG유플러스 개인정보유출·디도스(DDOS) 공격 피해 및 원인. 그래픽=김대훈 기자

라우터 보호 장비 자체가 없었다

황현식 LG유플러스 대표가 2월 기자회견을 열고 개인정보 유출과 인터넷 서비스 장애 사태에 사과하는 모습. 연합뉴스 제공

디도스 공격 앞에선 속수무책이었다. 1월 29일과 2월 4일에 진행된 5회 공격에 약 120분 동안 회사 유선인터넷과 070전화 서비스, VOD(주문형 비디오) 서비스가 먹통이 됐다. 집중 공격을 받은 PC방은 제대로 된 영업이 불가능했다.

LG유플러스가 디도스 공격에 취약했던 이유는 대응 장비조차 제대로 갖추지 않았기 때문이라는 지적이 나온다. 회사 라우터(네트워크를 연결하는 장비)는 68개 이상이 외부에 노출됐다. 라우터는 별도의 보안 장비를 이용해 외부에서 인식하지 못하게 방어한다. 하지만 LG유플러스는 라우터 보호를 위한 보안장비가 없어 해커에게 그대로 노출됐고 신뢰할 수 없는 장비와도 통신이 연결됐다.

"정보보호 투자·전문인력 꼴찌"

LG유플러스는 소비자 정보보호 투자액과 전문인력 운용에서 통신3사 중 가장 미흡했다. 서울의 한 LG유플러스 지점. 연합뉴스 제공

이번 사태의 근본 원인은 회사의 허술한 정보보호 투자로 밝혀졌다. 과기정통부에 따르면 지난해 통신3사 정보보호 투자액은 SK텔레콤 860억 원·KT 1,021억 원·LG유플러스 292억 원이었다. 정보보호 인력은 각각 305명, 336명, 91명으로 집계됐다. LG유플러스는 보안 투자와 전문인력 양성 모두 낙제수준이었다.

위험을 실시간으로 감시하고 통제할 수 있는 자동화 시스템도 없었다. 정부는 회사의 사이버 공격 대응 훈련도 단순 모의 훈련에 그치거나 보여주기식에 그친 것으로 파악했다. LG유플러스 측은 "대표이사(CEO) 직속 사이버안전혁신추진단을 구성했다"며 "사이버 공격에 대한 102개 세부 과제를 수행하고 있고 1,000억 원 규모의 대규모 투자도 진행하고 있다"고 밝혔다.

송주용 기자 juyong@hankookilbo.com