［뉴시안= 조현선 기자］올해 초 LG유플러스에서 발생한 약 30만명의 고객정보 유출 사태의 원인은 데이터베이스(DB) 초기 비밀번호 미변경 등 보안 시스템 부실에 따른 것이라는 정부 조사 결과가 나왔다. 향후 LG유플러스는 재발 방지 등 정부 시정 요구에 대해 전사 차원에서 최우선적으로 수행해 나간다는 방침이다. 

과학기술정보통신부는 27일 정부서울청사에서 브리핑을 열고 ‘LG유플러스 정보 유출·접속 장애 사고 원인 분석 및 조치 방안’을 발표했다.

과기정통부와 한국인터넷진흥원(KISA) 등으로 구성된 특별조사점검단의 조사 결과, LG유플러스 정보 유출 사고로 총 29만7117명분의 개인정보가 새어나간 것으로 추정됐다.

개인정보 유출 경로로는 고객 인증 DB 시스템이 지목됐다. 조사 결과 2018년 6월 이후 LG유플러스의 고객인증 DB 시스템의 웹 관리자 계정 암호는 시스템 초기암호인 'admin'으로 설정돼 있던 것으로 나타났다. 보안 강도가 매우 낮은 비밀번호를 유지해 온 것이다.

일각에서 제기된 '화웨이 장비를 통한 유출 가능성'에 대해서는 선을 그었다. 홍진배 과기정통부 네트워크정책실장은 “관리자 DB접근제어 등 인증체계도 미흡했다”며 “해커가 악성코드를 설치해 파일을 쉽게 가져갈 수 있었을 것”이라고 설명했다.

또 고객정보 등이 포함된 대용량 데이터의 외부 유출에도 불구하고 LG유플러스는 이를 실시간으로 감지하고 통제할 수 있는 자동화 시스템이 마련되지 않았던 것으로 파악됐다. 시스템별 로그 저장 기준과 보관기간도 불규칙했다. 특히 올해 초 발생한 디도스 공격은 내부 라우터 장비 외부 노출, 라우터 간 접근제어 정책 미흡, 주요 네트워크 구간 보안장비 미설치 등이 원인으로 분석됐다.

점검단은 LG유플러스 측에 정보보호 인력·예산을 다른 통신사 수준으로 확대할 것을 요구했다. 핵심 서비스와 내부 정보 등을 보호하기 위한 전문인력 부재와 정보보호 조직의 권한과 책임도 미흡했다는 판단에 따른 조치다. 지난해 통신3사 정보보호 투자금액은 △KT 1021억원 △SK텔레콤 860억원 △LG유플러스 292억원 순으로 나타났다. 정보보호 인력 역시 △KT 336명 △SK텔레콤 305명 △LG유플러스 91명 등으로 집계됐다.

이에 LG유플러스는 이날 입장문을 내고 "사고 발생 시점부터 사안을 심각하게 받아들이고 있으며 과기정통부의 원인 분석 결과에 따른 시정 요구사항을 전사적인 차원에서 최우선으로 수행할 예정"이라고 밝혔다. 사측은 지난 2월 최고경영자(CEO) 직속의 사이버안전혁신단을 구성한 데 이어 연내 1000억원 규모의 정보보호 부문 투자도 집행한다는 계획을 밝힌 바 있다. 

한편 과기정통부는 통신업계의 유사 사고 재발 방지를 위해 사이버위기 예방·대응 체계 개편 및 관련 제도 개선을 추진한다. 국내 기업을 대상으로 활동하는 해커조직을 선별, 추적해 수사기관 등과 공조해 대응할 수 있도록 하는 능동적 사이버 공격 추적체계도 도입한다. 아울러 침해사고 사실을 알리지 않는 사업자에 대한 과태료 부과 상한선을 기존 1000만원에서 2000만원으로 늘리도록 법령 개정도 추진한다.