![과학기술정보통신부가 총 6조6726억원을 투자하는 ‘2023년도 과학기술·ICT 분야 연구개발사업 종합시행계획’을 확정하고, 관련 사업을 본격적으로 추진한다. [사진=이뉴스투데이 DB]](https://images-cdn.newspic.kr/detail_image/181/2023/4/27/0883a933-2b9f-4d56-9b6e-b8c85feb07e9.jpg?area=BODY&requestKey=L1SvO37V)
[이뉴스투데이 김영욱 기자] LG유플러스는 지난 1월 사이버공격으로 고객정보 유출, 유선인터넷 등 장애가 발생했다. 과학기술정보통신부(과기정통부)와 한국인터넷진흥원(KISA)는 침해사고 원인을 분석하고 정보보호 침해 예방·대응체계 관련 조치사항을 담은 ‘LG유플러스 침해사고 원인분석 및 조치방안’을 발표했다.
과기정통부와 KISA는 LG유플러스의 고객정보 대량 유출을 중대한 침해사고로 판단해 지난 1월 11일부터 현장조사를 실시, 원인분석과 재발방지 대책방안을 마련하기 위해 디지털포렌식 등 외부 전문가를 포함한 ‘민관합동조사단’을 운영했다.
이후 LG유플러스 정보통신망에 대한 분산서비스 거부 공격(DDoS, 디도스)으로 유선 인터넷 등 일부 고객의 접속 장애가 반복 발생해 정보보호 예방 대응 체계를 점검하기 위해 특별조사점검단으로 개편, 2월 6일부터 조사·점검을 수행했다.
LG유플러스가 해커로부터 확보한 유출데이터 60만건에는 △휴대전화번호 △성명 △주소 △생년월일 △암호화된 주민등록번호 △모델명 △이메일 △암호화된 비밀번호 △USIM 고유번호 등이 있었으며 실제 고객 정보가 맞다고 과기정통부는 설명했다.
60만건 중 중복 데이터를 제외하면 총 29만7117명의 고객정보가 유출됐다. 2018년 6월 15일 이후 고객인증 DB 시스템의 웹 취약점이 원인으로 추정되고 있다.
디도스 공격의 경우 LG유플러스의 라우터에 문제가 많은 것으로 확인됐다. △68개 라우터 외부 노출 △신뢰할 수 없는 장비와 통신 가능 △라우터 보호를 위한 보안장비 미설치 등 보안조치가 미흡해 해커들이 LG유플러스를 특정하고 디도스 공격으로 서비스 장애가 일어난 것이다.
과기정통부는 비정상 행위의 위험성을 실시간으로 탐지할 수 있도록 인공지능(AI) 기반 모니터링 체계를 고객정보처리시스템까지 확대하고, 분기별로 1회 이상 모든 IT자산에 대한 보안 취약점을 점검, IT통합관리시스템을 도입할 것을 요구했다고 밝혔다.
이와 함께 주요 보안 인력을 타 통신사와 대등한 수준으로 보강, 정보보호책임자를 CEO 직속 조직으로 강화하는 등 전문화된 보안조직 체계를 구성하고 맞춤형 모의훈련을 연 2회 이상 수행, 보안교육을 연 2회 이상 실시하는 동시에 실무를 반영한 보안메뉴얼을 개발·관리할 것을 방안으로 내세웠다.
과기정통부는 최근 더 다양해지고 확대되고 있는 지능적, 조직적인 사이버위협에 보다 선제적·체계적으로 대응하기 위해 기존 사이버위기 예방·대응 체계를 개편하는 한편, 관련 제도 개선을 추진한다.
과기정통부와 KISA는 사이버침해대응센터의 침해사고 탐지·분석 대응체계를 고도화해 나갈 계획이다.
잘 드러나지 않은 해킹위협 정보를 다양한 영역에서 수집하고, 정보 간 연계분석을 통해 사이버위협을 조기에 대응할 수 있는 체계를 마련한다. 기존의 탐지시스템을 ‘사이버위협통합탐지시스템’으로 통합구축하고 위협정보 조회, 연관분석을 수행해 고위험 대상시스템을 조기 탐지·식별하는 체계를 갖추고자 한다.
능동적 사이버 공격 추적체계도 도입한다. 국내 기업을 대상으로 활동하는 해커조직을 선별, 추적해 사이버공격이 발생하기 전에 수사기관 등과 공조해 대응하는 것을 골자다.
또 2024년부터 사이버공격 억지체계를 구축해 사이버위협 피해 발생 전에 대응하는 체계를 갖출 예정이다.
법·제도 개선도 추진한다. 법령상 규정을 명확히 하겠다는 것이다.
‘침해사고 원인분석 및 대책을 위해서’만 자료제출을 요구하는 것에서 침해사고 정황이나 징후가 사업자에 자료 제출을 요구할 수 있도록 근거를 둬 신속하게 침해사고를 파학하고 피해 확산 방지 등 조치를 수행할 수 있는 기반을 마련한다.
사업자 보호조치도 신설한다. 침해사고 사실 공개될 시 생기는 불이익으로 신고하지 않으려는 이들을 위해 신고 내용과 신고 자료 보호 근거를 둔다. 침해사고가 발생해도 신고치 않은 이들은 최대 2000만원의 과태료를 부과하도록 해 신고의무를 강화할 예정이다.
이에 더해 사업자가 침해사고 조치방안을 의무적으로 이행하도록 조치 이행점검 규정을 신설한다. 피해 확산 방지, 사고대응, 복구 및 재발 방지 대책을 마련해 침해사고를 당한 사업자에게 필요한 조치를 하도록 권고할 수 있는데 해당 권고 규정을 ‘권고 또는 명령’할 수 있도록 개정, 별도로 조치 이행여부를 점검할 수 있도록 해 사업자가 재발 방지 대책을 실효적으로 이행토록 하겠다는 것이다.
이종호 과기정통부 장관은 “기간통신사업자인 LG유플러스에 대한 조사·점검 결과 여러 가지 취약점이 확인됐으며 책임 있는 시정조치를 요구했다”며 “기간통신사업자는 침해사고가 국민 일상의 불편을 넘어 막대한 경제적 피해, 사회 전반의 마비 등을 야기할 수 있음을 엄중히 인식하고 사이버위협 예방 및 대응에 충분한 투자와 노력을 다함으로써 국민들의 안전한 디지털 서비스 이용을 보장해야 할 책무가 있다”고 말했다.
이어 “정부도 날이 갈수록 다양해지고 확대되고 있는 지능적·조직적 사이버 위협에 대비해 기존 정보보호 체계를 보다 실효성 높은 체계로 강화하여 국민들과 기업이 신뢰하는 안전한 디지털 서비스 강국을 구축해나가겠다”고 덧붙였다.
Copyright ⓒ 이뉴스투데이 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
