결국 '투자부족'…정부, LG유플러스 침해사고 특별조사단 결과 발표

정부, 'LGU+ 침해사고 원인 분석 및 조치방안' 발표
침해사고 공통 원인으로 '정보보호 인프라·투자 부족' 지적
LG유플러스 "시정 요구 사항 전사적 차원 최우선 수행 예정"

↑ 오늘(27일) 정부서울청사에서 홍진배 과기정통부 네트워크정책실장이 LG유플러스 정보 유출·접속 장애 사고 원인과 조치방안 등을 발표했습니다. (연합뉴스 제공)

올해 초 고객정보유출에 이어 다섯 차례의 대규모 분산서비스 거부 공격(DDos, 이하 디도스 공격)으로 고객 피해를 일으킨 LG유플러스에 대해 정부는 '정보보호 관련 인프라 및 투자 부족'을 주요 원인으로 꼽혔습니다.

과학기술정보통신부(이하 과기정통부)와 한국인터넷진흥원(KISA)는 오늘(27일) LG유플러스의 전반적인 정보보호 침해 예방 및 대응체계를 점검한 뒤 관련 조치사항을 담은 'LG U+ 침해사고 원인분석 및 조치방안'을 발표했습니다.

정부는 지난 2월 기존 민간합동조사단을 특별조사점검단을 확대 개편하고, 서울 상암과 마곡에 위치한 LG유플러스 데이터센터 현장 조사를 비롯해 강도 높은 조사를 이어갔습니다.

이번에 발표된 조사 결과에 따르면, 약 30만 명에 달하는 고객의 이름과 생년월일, 암호화된 주민번호와 비밀번호 등이 해커들의 손에 넘어간 점에 대해서는 LG유플러스 고객인증시스템의 취약점, 대용량 데이터 이동 등 실시간 탐지체계의 부재를 원인으로 추정했습니다.

디도스 공격은 서로 다른 네트워크를 연결하는 내부 라이터 장비가 외부에 노출된 가운데, 라우터 사이의 접근을 제어하는 정책의 미흡, 라우터 보호를 위한 보안장비 미설치 등이 원인으로 꼽혔습니다.

정부는 LG유플러스에 대해 기술적 조치방안으로 ▲분기별 보안 취약점 점검 및 제거 ▲실시간 모니터링 체계 및 IT자산 통합 관리 시스템 개발 및 구축 ▲ 보안장비 구축 및 점검 등을, 관리적 조치방안으로 ▲정보보호 인력 및 예산의 확대 ▲CEO직속 정보보호 조직 구성 ▲맞춤형 모의 훈련 및 보안 필수교육 등을 제시했습니다.

정부도 최근 사이버 보안 위협이 더 다양해지고 확대되는 만큼, 사이버침해대응 센터의 침해사고 탐지 분석 대응시스템을 고도화하고 신규 보안관리 체계 지원에 나섭니다.

또한, 침해사고 정황 또는 징후가 명확한 사업자에게 관련 자료 제출을 요구하고 미신고자에 대한 과태료 상향(기존 최대 1천만 원 → 2천만 원) 등 관련법 및 제도 개선도 예고했습니다.

홍진배 과기정통부 네트워크정책실장은 브리핑을 통해 "기간통신사업자에 대한 침해사고는 국민 불편을 넘어 막대한 경제적 피해는 물론 사회 전반의 마비도 야기할 수 있다"며 "정부도 기존 정보보호 체계보다 실효성 높은 체계로 디지털 서비스 강국을 구축해 나가겠다"고 밝혔습니다.

LG유플러스는 이번 정부 특별조사점검단의 결과 발표에 대해 "CEO 직속 사이버안전혁신추진단 구성 및 정보보호 수준 향상을 위한 102개 세부 과제 선정을 비롯한 1천억 원 규모의 대규모 투자 등 전사적 차원에서 시정 요구사항을 최우선을 수행할 예정"이라며 "뼈를 깎는 성찰로 고객들에게 더 깊은 신뢰를 주는 보안 품질에 가장 강한 회사로 거듭나겠다"고 입장을 밝혔습니다.

한편, 개인정보보호위원회에서는 이번 조사 결과와는 별개로 LG유플러스의 고객정보유출에 대해 개인정보법 위반 여부 등을 조사하고 있습니다.

[유승오 기자 victory5@mbn.co.kr]