• 최종편집 2024-03-28(목)
 
327.png
27일 오전 정부서울청사에서 홍진배 과학기술정보통신부 네트워크정책실장이 LG유플러스 정보 유출·접속 장애 사고 원인과 조치방안 등을 발표하고 있다. / 연합뉴스

 

 

[시큐리티팩트=김상규 기자] 올 1월과 2월 연이어 발생한 LGU+ 침해사고원인이 정보보호 인력 및 조직 부족과 상대적으로 저조한 정보보호 투자에 기인한 것으로 밝혀졌다.


과학기술정보통신부와 한국인터넷진흥원(KISA)은 LGU+의 최근 사이버 침해사고 원인을 분석하고 LGU+의 전반적인 정보보호 침해 예방·대응체계를 점검하여 관련 조치사항을 담은 ‘LGU+ 침해사고 원인분석 및 조치방안’을 27일 발표하였다.


발표에 따르면 LGU+는 고객정보 등이 포함된 대용량 데이터가 외부로 유출될 때 비정상 행위의 위험성을 실시간으로 감시하고 통제할 수 있는 자동화된 시스템이 없었던 것으로 조사되었다. 네트워크 내·외부 대용량 데이터 이동 등 이상 징후를 탐지하고 차단할 수 있는 실시간 감시체계가 없었다. 


LGU+는 네트워크 및 시스템 자산 보호·관리도 미흡했던 것으로 나타났다. LGU+는 디도스 공격 전에도 약 68개 이상의 라우터 정보가 외부에 노출되는 등 주요 네트워크 정보가 외부에 많이 노출되어 있어 이를 악용한 공격이 가능했다. 또한, 네트워크 각 구간에 침입 탐지·차단 보안장비가 없었고 전사 IT 자원에 대한 통합 관리시스템도 부재하였다.

 

특히 과기정통부는 LG U+의 전문 보안인력 및 정보보호 투자 부족을 지적했다. LGU+는 핵심 서비스와 내부정보 등을 보호하기 위한 전문인력이 부족했다. 정보보호 조직의 권한과 책임도 미흡하였다.

 

IT 및 정보보호 관련 조직이 여러 곳에 분산되어 있어 긴급 상황 발생 시 유기적인 대응 및 빠른 의사결정에 어려움이 있었다. 무엇보다 타 통신사 대비 보안투자가 상대적으로 저조한 것도 LGU+의 전반적인 침해 예방·대응 체계 수준과 관련이 있는 것으로 판단된다고 말했다.


과기정통부는 LGU+와 같은 사고 방지를 위해 ‘제로트러스트’ 및 ‘공급망 보안’의 새로운 보안관리 체계가 자리 잡을 수 있도록 지원할 예정이다. ‘아무것도 신뢰하지 않는다’는 것을 전제로 사용자나 기기 접근을 항상 확인하고 최소한의 권한 부여로 시스템 내부에서의 자유로운 ‘횡적 이동’을 차단하는 제로트러스트 보안 모델을 기업 업무환경에 맞게 적용·실증할 계획이다.

 

이종호 과기정통부 장관은 “기간통신사업자인 LGU+에 대한 조사·점검 결과 여러 가지 취약점이 확인되었으며, 이에 대해서는 LGU+에 책임있는 시정조치를 요구하였다”라고 말하면서 “기간통신사업자는 침해사고가 국민 일상의 불편을 넘어 막대한 경제적 피해, 사회 전반의 마비 등을 야기할 수 있음을 엄중히 인식하고 사이버위협 예방 및 대응에 충분한 투자와 노력을 다함으로써 국민들의 안전한 디지털 서비스 이용을 보장해야 할 책무가 있다”라고 언급하였다.


이와 함께 “정부도 날이 갈수록 다양해지고 확대되고 있는 지능적·조직적 사이버 위협에 대비하여 기존 정보보호 체계를 보다 실효성 높은 체계로 강화하여 국민들과 기업이 신뢰하는 안전한 디지털 서비스 강국을 구축해나가겠다”라고 밝혔다. 


한편 28일 LGU+는 이 사고 관련 보상안을 발표했다. 인터넷 접속 장애 사태로 불편을 겪은 개인 고객에게 장애 시간 10배의 요금을 감면하고, PC방에는 현금 지급과 요금 감면 가운데 선택하도록 했다. LGU+는 피해 접수를 신청한 개인 고객 약 427만 명에게는 장애 시간의 10배에 해당하는 요금을 감면해주기로 했다. 감면액은 고객당 평균 1천41원이다.


온라인몰 'U+콕'에서 상품을 구매할 때 사용할 수 있는 쿠폰도 추가로 제공한다. 쿠폰은 고객이 가입한 상품에 따라 3천원권과 5천원권을 차등 지급한다. 인터넷 접속 오류에 따른 손님 이탈 등 피해를 본 피시방 사업자 2099명에게는 이용 요금 감면(6∼7월)과 현금 지급(7∼8월) 중에서 선택할 수 있도록 했다.


보상액은 접속 장애 발생일에 따라 차이가 있다. 1월 29일 하루만 장애를 겪었다면 32만3천원, 주말이었던 2월 4일 하루만 겪었을 때는 38만7천원을 지급한다. 양일 모두 장애가 있었다면 71만원을 제공할 예정이다. 아울러 피시방 사업자와 함께 피시방 시장 확대 등 사업 활성화를 지원하기 위한 방안도 공동으로 마련하기로 했다.


소상공인 피해 약 330건에 대해서는 한 달 치 요금을 감면하고, 이는 6월 청구분에서 일괄 반영할 방침이다. 요금 감면 금액은 건당 약 3만1천998원이 될 것으로 보인다.


이와 함께 소상공인에게는 국내 블로그 홍보 서비스 '레뷰'를 일정 기간 무료로 이용할 수 있도록 하고, '착한 가게 캠페인'을 통해 운영비 및 매장 내 가전제품을 지원할 계획이다. 이에 따라 LG유플러스가 개인 고객과 피시방 사업자, 소상공인에게 지원하는 보상 규모는 약 400억원에 달할 것으로 추산된다.



태그

전체댓글 0

  • 83287
비밀번호 :
메일보내기닫기
기사제목
과기정통부 “LGU+ 침해사고 원인은 저조한 정보보호 투자때문”
보내는 분 이메일
받는 분 이메일