[정보통신신문=최아름기자]

연초 발생했던 LG유플러스 유선망 장애는 내부 라우터 장비 외부 노출, 라우터 간 접근제어 정책 미흡, 주요 네트워크 구간 보안장비 미설치가 주요 원인으로 지적됐다. 통신사 중 가장 저조한 보안 투자로 인해 공격의 타깃이 됐다. 고객정보 유출 사고 역시 실시간 탐지체계 부재 등이 원인으로 보여 재발 방지를 위한 과감한 투자가 요구되는 시점이다.

■사건 개요

먼저 LGU+ 광대역 데이터망의 주요 라우터에 대한 디도스 공격이 1월 29일과 2월 4일 5회 총 120분간 이뤄졌다. 이로 인해 LGU+의 유선인터넷, VOD, 070전화 서비스에 장애가 발생했다.

공격자는 1월 29일 3회에 걸쳐 63분간 해외 및 국내 타 통신사와 연동구간(IX)의 주요 네트워크 장비 32대(게이트웨이 8대, 라우터 24대) 중 14대(게이트웨이 3대, 라우터 11대)에 디도스 공격을 했다. 이에 따라 전국 대부분에 서비스 장애가 발생했다.

공격자는 2월 4일에도 2회, 57분 동안 내부가입자망에서 일부 지역 엣지(Edge) 라우터 약 320대(전체 5000대)를 대상으로 디도스 공격을 감행했고, 해당 지역에 서비스 장애가 발생했다.

개인정보 유출 사고도 발생했다. 지난 1월 1일 미상의 해커가 해킹포럼에 LG유플러스 고객정보 판매글을 게시해 사실이 알려지게 된 것. 이에 LG유플러스는 2일 해커로부터 데이터 60만건을 확보했으며 10일 19만명의 고객정보가 유출된 것을 확인하게 된다. 2월 3일에는 해지고객 DB 등에서 11만명 정보가 빠져나간 사실을 추가 확인했다.

과기정통부는 “해커가 추가적인 고객 데이터를 가지고 있다고 단정하기 어려우나 유출규모가 더욱 확대될 수 있는 가능성도 배제하기 어렵다”고 밝혔다.

■라우터 보안 미비로 비정상 패킷 대거 유입

유선 인터넷망 대상 디도스 공격의 경우, 먼저 공격자는 네트워크를 구성하는 통신사의 라우터 장비를 대상으로 공격을 시도해 네트워크 장애를 유발시켰다.

라우터 장비에 다량의 비정상 패킷을 유입시켜 중앙처리장치(CPU) 이용률을 대폭 상승시키는 자원 소진 공격 유형이었다. 구체적으로는 ‘Syn Flooding’ 기법이라 불리는 것으로, 통신 연결 요청 패킷인 Syn을 지속적으로 공격 대상에 보내고 공격 대상이 회신하는 Ack에는 응답하지 않아, 공격 대상 시스템이 통신 연결을 계속 대기하게 만들고 자원을 소모하게 만드는 공격기법이다.

타 통신사는 라우터 정보 노출을 최소화하고 있으나, LGU+는 디도스 공격 전에 약 68개 이상의 라우터가 외부에 노출돼 있었다. 이에 따라, 공격자는 포트 스캔을 통해 LGU+ 라우터를 특정하고 노출된 포트를 대상으로 디도스 공격을 감행한 것으로 분석된다.

또한, LGU+의 주요 라우터는 라우터 간 경로정보 갱신에 필수적인 통신 외에 신뢰할 수 없는 장비와도 통신이 가능한 상태로 운영됐고 비정상 패킷 수신이 가능했다. 일반적으로 접근제어 정책(ACLt)을 통해 라우터 간 통신유형을 제한하나, LGU+는 이러한 보안조치가 미흡했다.

마지막으로 광대역 데이터망에 라우터 보호를 위한 보안장비(IPS)가 설치돼 있지 않았다. IPS는 대량의 네트워크 트래픽이나 비정상 패킷을 감지해 출발지 인터넷프로토콜(IP)을 차단하거나 패킷을 차단하는 등 보안조치를 수행하는 장비다. 이로 인해 내부로 인입되는 패킷의 비정상 여부 검증, 이에 따른 트래픽 제어 등이 불가능했던 것도 시스템 장애의 이유로 분석된다.

고객정보 유출 사고의 경우 직접 원인은 DB 시스템 보안 및 관리자 인증 체계 미비로 분석됐다.

데이터 유출 시점으로 추정되는 2018년 6월 15일 당시 고객인증 DB 시스템은 웹 관리자 계정 암호가 시스템 초기암호로 설정돼 있었고, 시스템에 웹취약점이 있어 해당 관리자 계정으로 악성코드인 ‘웹셸’을 설치해 원격에서 해커가 공격 대상 웹서버에 명령을 실행할 수 있었던 것으로 보인다. 또한 관리자의 DB접근제어 등 인증체계가 미흡해 해커의 파일 유출을 차단하지 못했다.

정부는 고객정보 유출로 인해 추가적으로 발생할 수 있는 2차 피해는 스미싱, 이메일 피싱, 불법로그인, 유심(USIM) 복제 등의 가능성이 있으나, 불법로그인은 비밀번호가 암호화돼 있고, USIM 복제는 실제 USIM의 개인키가 있어야 하므로 피해 발생 가능성은 낮은 것으로 판단된다고 밝혔다.

■근본적 사고 원인은 정보보호 투자 부족

보다 근본적인 원인으로는 △네트워크 및 시스템 자산 보호·관리 미흡 △비정상 행위 탐지·차단 대응체계 부재 △전문 보안인력 및 정보보호 투자 부족 △실효성 있는 보안인식 제고 방안 및 실천체계 부재 등이 지적됐다.

LGU+의 경우 디도스 공격 전에도 약 68개 이상의 라우터 정보가 외부에 노출되는 등 주요 네트워크 정보가 외부에 많이 노출돼 있어 이를 악용한 공격이 가능했다. 또한, 네트워크 각 구간에 침입 탐지·차단 보안장비가 없었고 전사 IT 자원에 대한 통합 관리시스템도 부재했다.

LGU+는 고객정보 등이 포함된 대용량 데이터가 외부로 유출될 때, 이러한 비정상 행위의 위험성을 실시간으로 감시하고 통제할 수 있는 자동화된 시스템이 없었던 것으로 조사됐다. 즉, 네트워크 내·외부 대용량 데이터 이동 등 이상 징후를 탐지하고 차단할 수 있는 실시간 감시체계가 부재했다. 또한, 시스템별 로그 저장 기준과 보관 기간도 불규칙했다.

LGU+는 핵심 서비스와 내부정보 등을 보호하기 위한 전문인력이 부족하고, 정보보호 조직의 권한과 책임도 미흡했다. 특히 IT 및 정보보호 관련 조직이 여러 곳에 분산돼 있어 긴급 상황 발생 시 유기적인 대응 및 빠른 의사결정에 어려움이 있었던 것으로 보인다.

무엇보다 타 통신사 대비 보안투자가 상대적으로 저조한 것도 LGU+의 전반적인 침해 예방·대응 체계 수준과 관련이 있는 것으로 판단된다. 지난해 통신사 정보보호 투자액(정보통신 투자액 대비 정보보호 비중, 정보보호 인력)을 보면, △KT 1021억원(5.2%, 336명) △SKT(+SKB) 860억원(3.9%, 305명) △LGU+ 292억원(3.7%, 91명) 순으로 금액과 비중, 인력 수에서 LGU+가 가장 밑돎을 확인할 수 있다.

LGU+는 해킹메일 발송 등 단순 모의훈련은 실시하고 있으나, 최근 사이버 위협에 따른 실전형 침투훈련이 부족하다. 임직원 대상의 보안교육도 형식적이고, 바로 보안업무에 활용할 수 있는 실무형 업무매뉴얼도 부재한 것으로 조사됐다.

■IT 자산 통합관리시스템 도입 촉구

정부는 이에 대해 LGU+에 시정조치를 지시했다.

먼저 분기별로 1회 이상 모든 IT자산에 대한 보안 취약점을 점검하고 제거하도록 했다. 또한 침해사고 예방·대응·분석 등에 활용할 수 있는 IT자산 통합관리시스템을 도입해 시스템 관리체계를 개선토록 요구했다.

이와 함께 현재 LGU+의 메일 시스템에만 적용돼 있는 AI기반 모니터링 체계를 고객정보처리시스템까지 대상을 확대해 사이버위협에 대해 실시간으로 감시할 수 있도록 개선하는 한편, IT 자산 중요도에 따른 로그정책과 중앙로그관리시스템을 수립·구축하고 주기적인 점검을 수행토록 했다.

주요 보안인력은 타 통신사와 대등한 수준으로 보강하고, 정보보호책임자(CISOㆍCPO)를 CEO 직속 조직으로 강화해 보다 전문화된 보안조직 체계를 구성해야 한다. 더불어, 정보보호 강화에 필요한 예산 규모를 타 통신사와 대등한 수준 이상으로 확대하되, 한시적인 투자 확대가 아닌 장기 계획에 따른 보완 투자가 진행될 수 있도록 요구했다.

최아름 기자 다른기사 보기