LG유플러스에서 발생한 고객 정보 유출과 디도스 공격 피해는 LG유플러스의 정보 보호 투자 부족 때문인 것이라고 밝히며 고객 정보가 유출된 경로로 ‘고객 인증 데이터베이스(DB)’라고 전했다.
과기정통부는 LG유플러스의 당시 고객인증 DB 시스템은 웹 관리자 계정 암호가 시스템 초기 암호로 설정돼 있었고 시스템에 취약점이 있어서 관리자 계정으로 악성 코드를 설치할 수 있었다고 설명했다.
또 관리자의 DB 접근 제어 등 인증 체계 역시 미흡해, 악성 코드를 이용한 파일 유출이 가능했던 것으로 파악 했다고 전했다.
LG유플러스의 미흡한 관리 시스템으로 29만 7,117명의 휴대전화 번호와 이름, 주소, 생년월일, 이메일, 유심(USIM) 고유번호 등 고객 정보가 유출됐다고 과기정통부는 전했다.
이에 LG유플러스가 29만명의 고객 정보 유출과 디도스 공격에 따른 인터넷 접속 장애와 관련 정부의 시정 요구사항을 가장 먼저 이행하겠다고 다시 한번 사과문을 발표했다.
먼저 LG유플러스는 27일 "사고 발생 시점부터, 사안을 심각하게 받아들이고 있으며 과학기술정보통신부의 원인 분석 결과에 따른 시정 요구사항을 전사적인 차원에서 최우선으로 수행하겠다"고 밝혔다.
LG유플러스는 지난 2월 CEO 직속의 사이버안전혁신추진단을 구성하고 잇단 사고에 대한 경위와 향후 대책을 발표하며 △사이버 공격에 대한 자산 보호 △인프라 고도화를 통한 정보보호 강화 △개인정보 관리 체계 강화 △정보보호 수준 향상 등 4대 핵심 과제에 102개 세부 과제를 수행하고 있다. 이를 위한 1000억원 규모의 대규모 투자 계획을 발표하기도 했다.
LG유플러스측은 사고 직후 개인정보 보호 및 디도스 방어를 위한 긴급 진단과 보안 장비(IPS) 및 솔루션 도입, 클라우드를 활용한 서비스의 긴급 점검, 접근제어 정책(AC) 강화 등 즉시 개선이 가능한 부분들을 조치 완료했다고 전했다.
또한 IT 통합 자산관리 시스템, 인공지능(AI) 첨단기술을 적용한 모니터링, 중앙 로그 관리 시스템, 통합관제센터 구축에 대한 세부 과제도 진행되고 있는 상태이다.
아울러 외부 전문가 그룹으로 구성된 정보보호자문위원회를 본격 가동하고, 회사 내 CISO, CPO 조직 개선과 전문 인력투자, 개인정보의 관리체계 개선, 미래보안기술 연구투자, 유심(USIM) 무상 교체, 피해보상협의체 운영, 대학 및 교육기관과 연계된 사이버 보안 전문인력 육성 등도 함께 진행하고 있다.
또한 새롭게 임명할 정보보안최고책임자(CISO), 개인정보보호책임자(CPO)를 주축으로 개인정보를 비롯한 전사적인 정보보호 강화 활동을 지속한다는 방침이다.
아울러 진행상황은 단계별로 투명하게 공개하고, 종합적 보안 대책은 추후 상세히 설명하는 시간을 따로 갖겠다고 했다.
LG유플러스측은 "그동안 외부에서 주신 다양한 염려와 의견을 충분히 반영하고 뼈를 깎는 성찰로 고객들에게 더 깊은 신뢰를 주는, 보안, 품질에 있어 가장 강한 회사로 거듭나겠다"고 전했다.
Copyright © 이코노믹데일리, 무단전재·재배포 금지