LGU+ DDoS&개인정보 유출

침해 사고 정보
일자	2023/01 ~ 2023/02
침해 정보	- 개인정보: 휴대전화번호, 성명, 주소, 생년월일, 암호화된 주민등록번호, 모델명, 이메일, 암호화된 비밀번호, USIM 고유번호 등 - 서비스 장애
특징	잘못된 설정으로 인한 DDoS 및 개인정보 유출
피해크기	- 29만 7,117명의 고객정보 (399명은 확인 불가) - DDoS 공격으로 인한 서비스 장애
침해 사고 분석
경위	① 23.01.01 미상의 해커가 해킹포럼에 LGU+고객정보 판매글을 게시 - 23.01.05 6비트코인에 약 2천만건의 고객정보 판매 글 게시 - 23.02.03 과기정통부·개인정보위는 LGU+와 함께 약 30만명 고객정보 유출 확인 > LGU+가 해커로부터 확보한 데이터 60만건을 전체회원DB와 비교하여, LGU+ 19만명 고객정보 및 해지고객DB 등에서 11만명 유출 확인 > 확보한 유출데이터 60만건은 DB 형태의 텍스트 파일로 26개의 컬럼으로 구성 > 컬럼은 휴대전화번호, 성명, 주소, 생년월일, 암호화된 주민등록번호, 모델명, 이메일, 암호화된 비밀번호, USIM 고유번호 등 > 이 중, 교환기주소, 서비스명컬럼에서 LGU+의 고객정보로 판단할 수 있는 데이터(lte-lguplus.co.kr, U+인터넷전화 등)를 확인 ② 23.01.11 "민관합동조사단" 운영 - 중대한 침해사고로 규정 - 과기정통부, KISA, 디지털 포렌식 전문가 등으로 구성 ③ 23.01.29 3회(총 63분), 23.02.04 2회(총 57분) DDoS 공격 피해 - 23.01.29 3회 총 63분 동안 해외 및 국내 타 통신사와 연동구간의 주요 네트워크 장비 14대 대상 DDoS 공격 > 전국 대부분에 서비스 장애가 발생 - 23.02.04 2회 총 57분 동안 내부가입자망에서 일부 지역 엣지 라우터 약 320대 대상 DDoS 공격  > 해당 지역에 서비스 장애가 발생 - 라우터 장비에 다량의 비정상 패킷이 유입 및 CPU 이용률이 대폭 상승한 것으로 분석 > 자원 소진 공격 유형으로 분석 (Syn Flooding 활용) > 평균 CPU 이용률: 20% 미만 / 공격 피해 당시: 60～90% (3～4배 이상 증가) ④ 23.02.06 "특별조사점검단"으로 개편하여 조사, 점검 수행 - 개편 사유: 연이은 DDoS 공격으로 인한 서비스 장애의 반복 발생으로 보다 심층적인 점검 필요
원인	① 미흡한 DB 및 웹 서버 설정, 실시간 모니터링 부재 - 어느 시스템에서 유출된 것인지 파악하기 위해 내부 고객정보 처리 시스템 분석 > 유출된 데이터와 내부 시스템 연계 분석 결과 전체회원 DB, 고객인증 DB, 해지고객 DB 특정 > 유출 데이터의 컬럼명과 3개 DB 각각의 컬럼명 일치 또는 유사성 분석 결과 고객인증 DB > 14.06~21.08 사용자 계정 통합 작업 오류로 고객인증 DB에 남아있던 삭제된 데이터와 유출 데이터 일부 일치 - 고객정보 변경시간(UPDATE_DTIME) 컬럼 값(요금제나 회원정보가 변경되면 변경시점으로 업데이트)을 근거로 유출 시점 판단 > 시스템의 로그가 남아있지 않아 특정하기 어려우나 유출데이터의 마지막 업데이트는 18.06.15 03시58분으로 해당 시점 직후 유출된 것으로 추정 ※ 18년도 당시의 로그정보가 남아있지 않아 로그 분석을 통한 사고조사에는 한계 존재 > 총 16개의 시나리오를 마련해 4가지 위협 판단기준에 따라 시나리오 검증 ⒜ 인터넷 연결 여부 ⒝ 해킹에 악용되는 취약점 존재 여부 ⒞ 접근제어 정책 적용 여부 ⒟ 불필요한 파일 등 관리 여부 > 점검 중 18.06 시행한 취약점 분석 결과보고서를 근거로 당시 고객인증 DB 시스템의 취약점을 확인 ⒜ 웹 관리자 계정 암호가 시스템 초기암호로 설정 > 해커의 관리자 페이지 접속 ⒝ 시스템에 웹 취약점 존재 > 파일업로드 취약점 이용 웹쉘 업로드 ⒞ 관리자의 DB접근제어 등 인증체계가 미흡 > 웹쉘을 이용한 DB 접근 및 정보 유출 ⒟ 대용량 데이터 이동 등 실시간 탐지체계 부재 - 유출로 인한 2차 피해는 스미싱, 이메일 피싱, 불법로그인, 유심(USIM) 복제 등의 가능성 > 비밀번호가 암호화되어 있고, 실제 USIM의 개인키가 있어야 하므로 불법로그인과 유심 복제 발생 가능성은 낮은 것으로 판단 ② 미흡한 네트워크 장비 운영 (외부 노출, 비신뢰 장비와 통신 가능, 접근제어 정책 미흡)  - 공격 전에 약 68개 이상의 라우터가 외부에 노출 > 포트 스캔을 통해 LGU+ 라우터를 특정하고 노출된 포트를 대상으로 공격을 감행한 것으로 분석 - 주요 라우터는 라우터 간 경로정보 갱신에 필수적인 통신 외에 신뢰할 수 없는 장비와도 통신이 가능한 상태로 운영 > 비정상 패킷 수신이 가능 - 접근제어 정책(ACL, Access Control List)을 통해 라우터 간 통신유형을 제한 > 보안조치가 미흡
조치	① 각각의 문제점에 대한 시정조치 요구 - 비정상 행위 탐지·차단 대응체계 부재 (고객 개인정보 유출 관련) > 문제점 ⒜ 대용량 데이터가 외부로 유출될 때 비정상 행위의 위험성을 실시간 감시 및 통제 가능한 자동화된 시스템이 없었던 것으로 조사 ⒝ 시스템별 로그 저장 기준과 보관기간도 불규칙 > 요구 ⒜ 메일시스템에만 적용되어 있는 AI기반 모니터링 체계를 고객정보처리시스템까지 대상을 확대 ⒝ IT 자산 중요도에 따른 로그정책과 중앙로그관리시스템을 수립·구축하고 주기적인 점검을 수행 - 네트워크 및 시스템 자산 보호·관리 미흡 (DDoS 관련) > 문제점 ⒜ 주요 네트워크 정보가 외부에 많이 노출 ⒝ 침입 탐지·차단 보안장비 부재 ⒞ 전사 IT 자원에 대한 통합 관리시스템도 부재  > 요구 ⒜ 분기별로 1회 이상 모든 IT자산에 대한 보안 취약점을 점검 ⒝ IT자산 통합관리시스템을 도입 - 전문 보안인력 및 정보보호 투자 부족 > 문제점 ⒜ 핵심 서비스와 내부정보 등을 보호하기 위한 전문인력이 부족 ⒝ 정보보호 조직의 권한과 책임도 미흡, IT 및 정보보호 관련 조직이 여러 곳에 분산되어 유기적이고 빠른 대응의 어려움 ⒞ 타 통신사 대비 보안투자가 상대적으로 저조 > 요구 ⒜ 타 통신사와 대등한 수준으로 보강 ⒝ 정보보호책임자(CISOㆍCPO)를 CEO 직속 조직으로 강화 ⒞ 정보보호 강화에 필요한 예산 규모를 타 통신사와 대등한 수준 이상으로 확대하되, 장기 계획에 따른 보완 투자 요구 - 실효성 있는 보안인식 제고 방안 및 실천체계 부재 > 문제점 ⒜ 단순 모의훈련은 실시하고 있으나, 최근 사이버 위협에 따른 실전형 침투훈련이 부족 ⒝ 임직원 대상의 보안교육도 형식적 ⒞ 바로 보안업무에 활용할 수 있는 실무형 업무매뉴얼도 부재 > 요구 ⒜ 최근 사이버 위협 기반의 공격 시나리오를 개발 ⒝ 맞춤형 모의훈련을 연 2회 이상 수행, 외부기관이 진행하는 모의 침투 훈련 참여 등 대응 능력 제고 ⒞ 보안에 대한 경각심이 제고될 수 있도록 보안교육을 연 2회 이상 실시 ⒟ 실무를 반영한 보안매뉴얼을 개발·관리
기타	① 28일 ‘피해보상협의체’와 마련한 디도스 장애에 따른 ‘종합 피해보상안’ 발표 - 일반 개인과 사업자 고객으로 구분, 각 고객 관점에서 실질적으로 필요한 내용을 담고자 노력했다고 밝힘 - 아래 "LGU+, 472만 고객에 장애시간 대비 10배 보상…소상인도 요금감면" 뉴스 참 ② 과기정통부&KISA: 지능적, 조직적인 사이버위협에 보다 선제적·체계적으로 대응을 위해 노력 중 - 기존 사이버위기 예방·대응 체계를 개편 및 관련 제도 개선을 추진 ⒜ 사이버침해대응센터의 침해사고 탐지·분석 대응체계를 고도화해 나갈 계획 ⒝ 기존의 탐지시스템을 ‘사이버위협통합탐지시스템’으로 통합구축 ⒞ 위협 정보 조회, 연관분석을 수행해 사이버위협 고위험 대상시스템을 조기 탐지 및 식별하는 체계 ⒟ 국내 기업 대상으로 활동하는 해커조직을 선별, 추적해 사이버공격 발생 이전에 수사기관 등과 공조해 대응할 수 있도록 하는 ‘능동적 사이버 공격 추적체계’를 도입 ⒠ 주요 공격자의 예상되는 공격을 관찰하고 대응(프로파일링)하는 사이버공격 억지체계를 2024년도부터 구축 ⒡ 사이버 위협 피해 발생 이전에 대응하는 체계를 갖춰나갈 계획 ③ 법·제도 개선도 추진: 사이버위협에 신속히 대응하기 위함 ⒜ 기업의 침해사고를 보다 빠르게 파악할 수 있도록 자료 제출요구에 대한 법령상 규정을 보다 명확화 ⒝ 신고 내용과 신고 자료의 보호 근거를 마련하고, 침해사고가 발생해도 신고하지 않는 자에게는 최대 2,000만원까지 과태료를 부과할 수 있도록 할 계획 ⒞ 사업자가 과기정통부의 침해사고 조치방안을 의무적으로 이행하도록 조치 이행점검 규정을 신설 ⒟ 사고 대응, 복구 및 재발 방지 대책을 마련해 침해사고를 당한 사업자에게 필요한 조치를 하도록 권고할 수 있는데, 이 ‘권고’ 규정을 ‘권고 또는 명령’으로 할 수 있도록 개정하고, 과기정통부가 별도로 조치 이행여부를 점검할 수 있도록 체계를 마련 ⒠ 피해 확산 방지, 사고대응, 복구 및 재발 방지 대책을 마련하여 침해사고를 당한 사업자에게 필요한 조치를 하도록 권고할 수 있는데 해당 권고 규정을 ‘권고 또는 명령’할 수 있도록 개정 ④ 과기정통부: 제로트러스트’ 및 ‘공급망 보안’의 새로운 보안관리 체계가 자리 잡을 수 있도록 지원 ⒜ 제로트러스트 보안 모델을 기업 업무환경에 맞게 적용·실증하고, 효과성을 검증하는 시범 사업을 추진 ⒝ 국내 환경에 맞는 기본모델을 정립 ⒞ SBOM(SW제품 구성 요소 등의 정보 명세서) 생성, 컨설팅 등 SW중소기업 대상 SW 공급망 보안 실증·지원을 확대 ⒟ KISA 등 전문조직의 관련 인력확보와 표준화 도입 등을 통해 국가 차원의 공급망 보안체계 기반을 마련 ⑤ 이종호 과기정통부 장관 - “기간통신사업자인 LGU+에 대한 조사·점검 결과 여러 가지 취약점이 확인되었으며, 이에 대해서는 LGU+에 책임있는 시정조치를 요구하였다.” - “기간통신사업자는 침해사고가 국민 일상의 불편을 넘어 막대한 경제적 피해, 사회 전반의 마비 등을 야기할 수 있음을 엄중히 인식하고 사이버위협 예방 및 대응에 충분한 투자와 노력을 다함으로써 국민들의 안전한 디지털 서비스 이용을 보장해야 할 책무가 있다.” - “정부도 날이 갈수록 다양해지고 확대되고 있는 지능적·조직적 사이버 위협에 대비하여 기존 정보보호 체계를 보다 실효성 높은 체계로 강화하여 국민들과 기업이 신뢰하는 안전한 디지털 서비스 강국을 구축해나가겠다.”

 

참고

보도자료 - 과학기술정보통신부

LG유플러스 개인정보 유출사건, 시스템 부족·보안정책 미비·인력 부족 등 총체적 난국이 원인

LGU+, 472만 고객에 장애시간 대비 10배 보상…소상인도 요금감면