올해 초 발생한 약 30만명의 LG유플러스 고객정보 유출 사고의 원인이 데이터베이스(DB) 비밀번호 미변경 등 시스템 관리 미흡에 따른 것이라는 조사 결과가 나왔다.
과학기술정보통신부(이하 과기정통부)는 27일 LG유플러스의 최근 사이버 침해사고 원인을 살펴본 뒤 마련한 예방·대응체계 관련 조치 방안을 발표했다.
지난 1월 한 해커가 온라인 커뮤니티에 LG유플러스 고객정보를 판매한다는 글을 올렸고, 2월 과기정통부·개인정보보호위원회·LG유플러스가 고객정보 유출을 확인했다. 총 29만7117명의 정보가 흘러나간 것으로 확인됐다.
과기정통부에 따르면 해당 고객정보가 빠져나간 것은 2018년으로, 시스템·DB 접속 방문자와 시간 등을 담은 기록(로그)이 거의 남아있지 않아 조사에 한계가 있었다. 이에 침해사고 시나리오 16개를 세워 검증을 진행했다.
분석 결과 당시 고객 인증 DB의 웹 관리자 계정 암호는 시스템 초기 암호로 설정돼 있었다.
통상 개인이 PC를 처음 구매하면 비밀번호가 설정돼 있지 않거나 '0000' 등 기억하기 쉬운 값으로 저장된 경우가 대다수다.
서버 역시 이와 크게 다르지 않은데, 시스템 관리자들 사이에서는 'P@ssW0rd!' 등 익숙한 비밀번호를 주로 사용하고 바꾸지 않는 사례를 종종 볼 수 있다.
이에 보안이 철저한 곳은 개별 관리자마다 계정을 부여하거나 회사 관계자들만 알고 금방 떠올릴 수 있는 대표 서비스나 상품의 이름에 특정 문자나 숫자를 섞어 공동 비밀번호를 만들기도 한다.
이처럼 관리자 계정에 쉽게 접근할 수 있는 환경 때문에 웹 시스템에 악성코드를 심을 수 있는 것으로 파악됐다. DB 접근을 제한하는 인증 체계 역시 제대로 갖춰지지 않았다.
다만 과기정통부는 유출된 고객정보 중 비밀번호는 암호화한 상태고, 유심(가입자식별모듈)정보는 실제 값이 있어야 하기 때문에 2차 피해 발생 가능성은 낮은 것으로 봤다.
과기정통부는 다른 이동통신사 대비 LG유플러스의 정보 보호 분야 투자와 전문 인력이 부족하다고 지적하며 보안 인력 충원과 장기적 관점의 투자를 진행할 것을 요구했다.
외부기관과 협업한 모의 훈련과 보안 교육도 정기적으로 추진해야 한다고 진단했다.
이와 관련 LG유플러스는 사고 재발 방지를 목적으로 지난 2월 CEO(최고경영자) 직속 사이버안전혁신추진단을 구성해 데이터 자산 보호와 인프라 고도화, 정보 보호 강화, 개인정보 관리 체계 강화 등 102개 세부 과제를 선정해 수행하고 있다. 1000억원의 대규모 투자도 이행하고 있다.
LG유플러스는 "뼈를 깎는 성찰로 고객에게 더 깊은 신뢰를 주는, 보안과 품질에 있어 가장 강한 회사로 거듭나겠다"고 했다.