① 해외 IP에서 한국장학재단 홈페이지에 2차례 로그인 시도 > 1차_23.06.25 22:30 / 2차_23.06.26 07:30 > 사전 수집한 크리덴셜 정보를 이용해 접속한 것으로 추정
원인
① 크리덴셜 정보 수집 > 이미 탈취된 정보 또는 동일한 계정 사용 등 공격자가 크리덴셜 정보를 사전에 수집한 것으로 판단됨
조치
① 홈페이지 "개인정보 유출(의심)에 대한 안내 및 홈페이지 로그인 방식 변경 안내" 공지사항 게시 - 로그인 시도 포착 즉시 해외 IP 접근 차단 - 유출 의심 고객에게 MMS, 이메일을 이용해 안내 - 피해 최소화를 위해 ID/PW 로그인 방식에서 공동인증서를 이용한 로그인으로 로그인 방식 변경 - 재단 명의로 발송된 의심되는 URL 클릭 금지 및 보이스 피싱 유의 안내 - 피해 구제를 위한 안내 및 지원 약속 - 내부 개인정보 보호 관리체계를 개선
기타
① 한국장학재단 - 교육부 산하 위탁집행형 준정부기관 - 대학생들의 학자금 지원 목적으로 2009년 설립 - 학자금 대출과 상환, 장학금 선정 및 수혜 등의 업무와 지도자 코멘티, 지식봉사활동 등을 수행
- 구미대: 아이디, 성명, 이메일, 암호화된 주민번호(해독불가능), 암호화된 패스워드(해독불가능) - 숙명여대: 2015~2016, 2018학년도 수시모집에 응시한 일부 지원자의 이름, 주민등록번호, 수험번호, 지원 전형명, 지원 모집단위, 출신고교명, 졸업(예정)년도 등
특징
해킹에 의한 개인정보 유출 (현재 대구지방경찰청에서 조사 중)
피해크기
2021년 8월~2022년 11월, 총 81만여명의 개인정보 217만여건 탈취
침해 사고 분석
경위
① 대구경찰청의 정보통신망법 위반 등 사건 수사 중 국내 여러 대학의 개인정보 유출 정황 확인 - 사건에 연류된 피의자가 국내 다수의 대학교 시스템에 침입 > 개인정보가 포함된 자료 열람 및 다운 정황 발견
② 대구경찰청 사이버수사과 사이버범죄수사대는 교내 정보보안 동아리 학생 2명 검거 - 피의자 A > 2021.08~2022.11 국내 대학 및 기관 등 15개소의 정보통신망에 침입 > C 대학 등 6개 시스템에서 개인정보 총 81만여 명, 217만여건을 탈취 > 소속학교의 중간고사 문제를 훔쳐 시험에 응시한 혐의로 구속
- 피의자 B > C 대학 정보통신망에 침입해 학생 및 교직원의 개인정보를 열람한 혐의로 검거, 불구속
원인
비공개
조치
① 대구경찰청 사이버수사과 사이버범죄수사대 > 신속한 압수수색과 수개월에 걸친 피해시스템 로그자료 분석 등을 통해 피해기관을 추가로 파악 > 전체 피해규모와 침입수법 및 탈취경로 등을 모두 확인 > 개인정보를 취급하는 기관에 대해 정보통신망의 정기적인 보안취약점 점검으로 유사한 사례가 발생하지 않도록 권고
② 구미대학교 홈페이지 ‘개인정보 유출 통지문’ 게시 - 조치사항 > 개인정보 침해사고 대응절차에 따라 관계기관에 침해사고 신고 > 침입자 IP 주소 및 불법 접속 경로 차단 조치 > 취약점 점검 및 보완 조치 진행 > 비밀번호 변경 권고_다른 서비스와 동일한 비밀번호 및 보안성이 약한 비밀번호 설정 금지 > 2차 피해 예방을 위해 출처가 불분명한 전화, 문자, 이메일 수신 시 즉시 삭제 당부
- 구제절차 > 담당부서 신고 시 안내 및 상담 후 구제절차 진행 > 피해 구제를 위한 필요한 지원 예정
- 자체적 조사 > 자체적인 개인정보 침해사고 대응절차에 따라 조사 및 복구 진행 > 개인정보보호 조치강화 등 내부 개인정보보호 관리체계 개선
③ 숙명여자대학교 홈페이지 ‘개인정보 유출에 대한 안내 및 사과문’ 게시 - ‘개인정보 유출사고 대응 매뉴얼’에 따라 관계 기관의 수사에 적극적으로 협조 - 외부로의 2차 유출 정황은 없는 것으로 파악 - 유출 사실 인지 즉시 사고 원인 파악 및 해당 시스템에 대한 접근을 전면 차단, 기술적 보호조치 완료 - 개인정보보호 조치강화 등 내부 개인정보보호 관리체계 개선
기타
- 구미대학교, 숙명여자대학교 홈페이지에 공지사항을 통해 게시글 확인 가능 > 공지 하단 [개인정보 유출 여부 확인] 서비스 제공
- 최근 대구지방경찰청에서 정보통신망법 위반 사건 수사과정에서 관련 사실 인지 > 수사를 받고 있는 피의자가 국내 다수의 대학 시스템에 침입한 사실이 확인
① 23.05.18 해병대 성고충예방대응센터는 내부망 '온나라시스템'으로 공문 발송 > 5년 차 미만의 여성인력 현황을 확인해달라는 공문 > 수신인으로 지정된 담당자만이 열람 가능 ※ 현황 파악과 무관한 개인 정보가 다수 포함 ※ 첨부 파일 내려받기가 가능해 유출범위 확산 우려
원인
① Human Error (공문 발송 실수)
조치
① 해병대 성고충예방대응센터 > 23.05.23 열람 제한 > 23.05.30 첨부파일 교체
의사: 성명, 소속 의료기관명, 전공, 이메일 주소, 휴대전화 번호, 정보 수신 동의일, 동의 확인 발송일 및 매체(이메일 또는 휴대폰) 약사: 성명, 소속, 직책, 이메일 주소, 휴대전화 번호, 정보 수신 동의일, 동의 확인 발송일 및 매체(이메일 또는 휴대폰)
특징
해킹에 의한 개인정보 유출 (현재 외부 보안전문업체에서 조사 중)
피해크기
현재 외부 보안전문업체에서 조사 중
침해 사고 분석
경위
① 23.06.02 해킹 인지 > 현재 확인된 바에 의하면 2021년 5월까지 마케팅 동의 고객들의 정보 유출 추정
원인
① 현재 외부 보안전문업체에서 조사 중
조치
① 사건 인지 직후 한독 조치 사항 "개인정보 유출에 대한 안내" 공지 게시 > 방화벽 정책 강화 > 침입자 IP 주소 차단 > 2차 피해 예방을 위해 출처가 불분명한 전화, 문자, 이메일 수신 시 즉시 삭제 당부 > 관계 기관 조사를 통해 구체적인 사항이 확인되는 대로 공유 ※ 유출된 개인정보로 인한 2차 피해 케이스는 없는 것으로 확인
- 개인정보: 휴대전화번호, 성명, 주소, 생년월일, 암호화된 주민등록번호, 모델명, 이메일, 암호화된 비밀번호, USIM 고유번호 등 - 서비스 장애
특징
잘못된 설정으로 인한 DDoS 및 개인정보 유출
피해크기
- 29만 7,117명의 고객정보 (399명은 확인 불가) - DDoS 공격으로 인한 서비스 장애
침해 사고 분석
경위
① 23.01.01 미상의 해커가 해킹포럼에 LGU+고객정보 판매글을 게시 - 23.01.05 6비트코인에 약 2천만건의 고객정보 판매 글 게시 -23.02.03 과기정통부·개인정보위는 LGU+와 함께 약 30만명 고객정보 유출 확인 > LGU+가 해커로부터 확보한 데이터 60만건을 전체회원DB와 비교하여, LGU+ 19만명 고객정보 및 해지고객DB 등에서 11만명 유출 확인 > 확보한 유출데이터 60만건은 DB 형태의 텍스트 파일로 26개의 컬럼으로 구성 > 컬럼은 휴대전화번호, 성명, 주소, 생년월일, 암호화된 주민등록번호, 모델명, 이메일, 암호화된 비밀번호, USIM 고유번호 등 > 이 중, 교환기주소, 서비스명컬럼에서 LGU+의 고객정보로 판단할 수 있는 데이터(lte-lguplus.co.kr, U+인터넷전화 등)를 확인
② 23.01.11 "민관합동조사단" 운영 -중대한 침해사고로 규정 -과기정통부, KISA, 디지털 포렌식 전문가 등으로 구성
③ 23.01.29 3회(총 63분), 23.02.04 2회(총 57분) DDoS 공격 피해 - 23.01.29 3회 총 63분 동안 해외 및 국내 타 통신사와 연동구간의 주요 네트워크 장비 14대 대상 DDoS 공격 > 전국 대부분에 서비스 장애가 발생
- 23.02.04 2회 총 57분 동안 내부가입자망에서 일부 지역 엣지 라우터 약 320대 대상 DDoS 공격 > 해당 지역에 서비스 장애가 발생
-라우터 장비에 다량의 비정상 패킷이 유입 및 CPU 이용률이 대폭 상승한 것으로 분석 > 자원 소진 공격 유형으로 분석 (Syn Flooding 활용) > 평균 CPU 이용률: 20% 미만 / 공격 피해 당시: 60~90% (3~4배 이상 증가)
④ 23.02.06 "특별조사점검단"으로 개편하여 조사, 점검 수행 - 개편 사유: 연이은 DDoS 공격으로 인한 서비스 장애의 반복 발생으로 보다 심층적인 점검 필요
원인
① 미흡한 DB 및 웹 서버 설정, 실시간 모니터링 부재 - 어느 시스템에서 유출된 것인지 파악하기 위해 내부 고객정보 처리 시스템 분석 > 유출된 데이터와 내부 시스템 연계 분석 결과 전체회원 DB, 고객인증 DB, 해지고객 DB 특정 > 유출 데이터의 컬럼명과 3개 DB 각각의 컬럼명 일치 또는 유사성 분석 결과 고객인증 DB > 14.06~21.08 사용자 계정 통합 작업 오류로 고객인증 DB에 남아있던 삭제된 데이터와 유출 데이터 일부 일치
- 고객정보 변경시간(UPDATE_DTIME) 컬럼 값(요금제나 회원정보가 변경되면 변경시점으로 업데이트)을 근거로 유출 시점 판단 > 시스템의 로그가 남아있지 않아 특정하기 어려우나 유출데이터의 마지막 업데이트는 18.06.15 03시58분으로 해당 시점 직후 유출된 것으로 추정 ※ 18년도 당시의 로그정보가 남아있지 않아 로그 분석을 통한 사고조사에는 한계 존재 > 총 16개의 시나리오를 마련해 4가지 위협 판단기준에 따라 시나리오 검증 ⒜ 인터넷 연결 여부 ⒝ 해킹에 악용되는 취약점 존재 여부 ⒞ 접근제어 정책 적용 여부 ⒟ 불필요한 파일 등 관리 여부 > 점검 중 18.06 시행한 취약점 분석 결과보고서를 근거로 당시 고객인증 DB 시스템의 취약점을 확인 ⒜ 웹 관리자 계정 암호가 시스템 초기암호로 설정 > 해커의 관리자 페이지 접속 ⒝ 시스템에 웹 취약점 존재 > 파일업로드 취약점 이용 웹쉘 업로드 ⒞ 관리자의 DB접근제어 등 인증체계가 미흡 > 웹쉘을 이용한 DB 접근 및 정보 유출 ⒟ 대용량 데이터 이동 등 실시간 탐지체계 부재
- 유출로 인한 2차 피해는 스미싱, 이메일 피싱, 불법로그인, 유심(USIM) 복제 등의 가능성 > 비밀번호가 암호화되어 있고, 실제 USIM의 개인키가 있어야 하므로 불법로그인과 유심 복제 발생 가능성은 낮은 것으로 판단
② 미흡한 네트워크 장비 운영 (외부 노출, 비신뢰 장비와 통신 가능, 접근제어 정책 미흡) - 공격 전에 약 68개 이상의 라우터가 외부에 노출 > 포트 스캔을 통해 LGU+ 라우터를 특정하고 노출된 포트를 대상으로 공격을 감행한 것으로 분석
- 주요 라우터는 라우터 간 경로정보 갱신에 필수적인 통신 외에 신뢰할 수 없는 장비와도 통신이 가능한 상태로 운영 > 비정상 패킷 수신이 가능
- 접근제어 정책(ACL, Access Control List)을 통해 라우터 간 통신유형을 제한 > 보안조치가 미흡
조치
① 각각의 문제점에 대한 시정조치 요구 - 비정상 행위 탐지·차단 대응체계 부재 (고객 개인정보 유출 관련) > 문제점 ⒜ 대용량 데이터가 외부로 유출될 때 비정상 행위의 위험성을 실시간 감시 및 통제 가능한 자동화된 시스템이 없었던 것으로 조사 ⒝ 시스템별 로그 저장 기준과 보관기간도 불규칙 > 요구 ⒜메일시스템에만 적용되어 있는AI기반 모니터링체계를 고객정보처리시스템까지 대상을 확대 ⒝ IT 자산 중요도에 따른 로그정책과 중앙로그관리시스템을 수립·구축하고 주기적인 점검을 수행
- 네트워크 및 시스템 자산 보호·관리 미흡 (DDoS 관련) > 문제점 ⒜ 주요 네트워크 정보가 외부에 많이 노출 ⒝ 침입 탐지·차단 보안장비 부재 ⒞ 전사 IT 자원에 대한 통합 관리시스템도 부재 > 요구 ⒜ 분기별로 1회 이상 모든 IT자산에 대한 보안 취약점을 점검 ⒝ IT자산 통합관리시스템을 도입
- 전문 보안인력 및 정보보호 투자 부족 > 문제점 ⒜ 핵심 서비스와 내부정보 등을 보호하기 위한 전문인력이 부족 ⒝ 정보보호 조직의 권한과 책임도 미흡, IT 및 정보보호 관련 조직이 여러 곳에 분산되어 유기적이고 빠른 대응의 어려움 ⒞ 타 통신사 대비 보안투자가 상대적으로 저조 > 요구 ⒜ 타 통신사와 대등한 수준으로 보강 ⒝ 정보보호책임자(CISOㆍCPO)를 CEO 직속 조직으로 강화 ⒞ 정보보호 강화에 필요한 예산 규모를 타 통신사와 대등한 수준 이상으로 확대하되, 장기 계획에 따른 보완 투자 요구
- 실효성 있는 보안인식 제고 방안 및 실천체계 부재 > 문제점 ⒜ 단순 모의훈련은 실시하고 있으나, 최근 사이버 위협에 따른 실전형 침투훈련이 부족 ⒝ 임직원 대상의 보안교육도 형식적 ⒞ 바로 보안업무에 활용할 수 있는 실무형 업무매뉴얼도 부재 > 요구 ⒜ 최근 사이버 위협 기반의 공격 시나리오를 개발 ⒝ 맞춤형 모의훈련을 연 2회 이상 수행, 외부기관이 진행하는 모의 침투 훈련 참여 등 대응 능력 제고 ⒞ 보안에 대한 경각심이 제고될 수 있도록 보안교육을 연 2회 이상 실시 ⒟ 실무를 반영한 보안매뉴얼을 개발·관리
기타
① 28일 ‘피해보상협의체’와 마련한 디도스 장애에 따른 ‘종합 피해보상안’ 발표 - 일반 개인과 사업자 고객으로 구분, 각 고객 관점에서 실질적으로 필요한 내용을 담고자 노력했다고 밝힘 - 아래 "LGU+, 472만 고객에 장애시간 대비 10배 보상…소상인도 요금감면" 뉴스 참
② 과기정통부&KISA: 지능적, 조직적인 사이버위협에 보다 선제적·체계적으로 대응을 위해 노력 중 - 기존 사이버위기 예방·대응 체계를 개편 및 관련 제도 개선을 추진 ⒜ 사이버침해대응센터의 침해사고 탐지·분석 대응체계를 고도화해 나갈 계획 ⒝ 기존의 탐지시스템을 ‘사이버위협통합탐지시스템’으로 통합구축 ⒞ 위협 정보 조회, 연관분석을 수행해 사이버위협 고위험 대상시스템을 조기 탐지 및 식별하는 체계 ⒟ 국내 기업 대상으로 활동하는 해커조직을 선별, 추적해 사이버공격 발생 이전에 수사기관 등과 공조해 대응할 수 있도록 하는 ‘능동적 사이버 공격 추적체계’를 도입 ⒠ 주요 공격자의 예상되는 공격을 관찰하고 대응(프로파일링)하는 사이버공격 억지체계를 2024년도부터 구축 ⒡ 사이버 위협 피해 발생 이전에 대응하는 체계를 갖춰나갈 계획
③ 법·제도 개선도 추진: 사이버위협에 신속히 대응하기 위함 ⒜ 기업의 침해사고를 보다 빠르게 파악할 수 있도록 자료 제출요구에 대한 법령상 규정을 보다 명확화 ⒝ 신고 내용과 신고 자료의 보호 근거를 마련하고, 침해사고가 발생해도 신고하지 않는 자에게는 최대 2,000만원까지 과태료를 부과할 수 있도록 할 계획 ⒞ 사업자가 과기정통부의 침해사고 조치방안을 의무적으로 이행하도록 조치 이행점검 규정을 신설 ⒟ 사고 대응, 복구 및 재발 방지 대책을 마련해 침해사고를 당한 사업자에게 필요한 조치를 하도록 권고할 수 있는데, 이 ‘권고’ 규정을 ‘권고 또는 명령’으로 할 수 있도록 개정하고, 과기정통부가 별도로 조치 이행여부를 점검할 수 있도록 체계를 마련 ⒠ 피해 확산 방지, 사고대응, 복구 및 재발 방지 대책을 마련하여 침해사고를 당한 사업자에게 필요한 조치를 하도록 권고할 수 있는데 해당 권고 규정을 ‘권고 또는 명령’할 수 있도록 개정
④ 과기정통부: 제로트러스트’ 및 ‘공급망 보안’의 새로운 보안관리 체계가 자리 잡을 수 있도록 지원 ⒜ 제로트러스트 보안 모델을 기업 업무환경에 맞게 적용·실증하고, 효과성을 검증하는 시범 사업을 추진 ⒝ 국내 환경에 맞는 기본모델을 정립 ⒞ SBOM(SW제품 구성 요소 등의 정보 명세서) 생성, 컨설팅 등 SW중소기업 대상 SW 공급망 보안 실증·지원을 확대 ⒟ KISA 등 전문조직의 관련 인력확보와 표준화 도입 등을 통해 국가 차원의 공급망 보안체계 기반을 마련
⑤ 이종호 과기정통부 장관 - “기간통신사업자인 LGU+에 대한 조사·점검 결과 여러 가지 취약점이 확인되었으며, 이에 대해서는 LGU+에 책임있는 시정조치를 요구하였다.” - “기간통신사업자는 침해사고가 국민 일상의 불편을 넘어 막대한 경제적 피해, 사회 전반의 마비 등을 야기할 수 있음을 엄중히 인식하고 사이버위협 예방 및 대응에 충분한 투자와 노력을 다함으로써 국민들의 안전한 디지털 서비스 이용을 보장해야 할 책무가 있다.” - “정부도 날이 갈수록 다양해지고 확대되고 있는 지능적·조직적 사이버 위협에 대비하여 기존 정보보호 체계를 보다 실효성 높은 체계로 강화하여 국민들과 기업이 신뢰하는 안전한 디지털 서비스 강국을 구축해나가겠다.”
약 2,665명 (일반회원 약 1,340만명, 탈퇴회원 173만명, 휴먼회원 1,152만명)
침해 사고 분석
경위
① 악성코드를 심은 이메일 발송 (피싱 or 스피어 피싱)
② 메일 열람 후 악성코드 감염, 감염 PC를 이용해 DB 서버 데이터 유출로 이어짐 - 메일을 열람한 A의 PC 감염 - 악성코드는 A의 PC를 매개로 다수 단말에 악성코드 설치하여 내부정보 수집 > A의 PC로 파일공유서버 접속 및 악성코드 설치, Brute-Force Attack 수행 - DB 서버에 접근 가능한 개인정보취급자PC의 제어권 획득 > 기존 연결 상태를 이용해 DB 서버 접속 - DB 서버 접속 및 개인정보 탈취·유출 > B의 PC를 경유해 개인정보 PC 및 DB서버에 재접속 > DB 서버의 개인정보 탈취하여 웹 서버->취급자 PC->B PC를 거쳐 외부 유출 > 인터파크 회원정보 약 2,665건이 보관된 파일을 16개로 분할하고 직원PC를 경유하여 외부로 유출
③ 추적을 피하기 위해 해외 IP를 경유해 인터파크 DB 서버에 접속
④ 해커는 인터파크에 30억 원 상당의 비트코인 요구 메일을 7/11 보냄으로써, 인터파크는 침해 사실 인지
원인
① 스팸, 사칭 메일에 대한 인식 부족 - 국가기관 사칭 E메일을 수신한 759명 중 약5%(20명 중 1명)는 정상메일로 인지
② 당시 인터파크에 패스워드 관리 및 서버 접근통제 관리 등이 미흡했던 것으로 판단됨
조치
① 외국과 공조수사
② 피해자들은 손해배상 소송 청구 - 2020년 회원들에게 1인당 10만원씩 지급 판결 > 유출된 회원들의 개인정보는 모두 개인을 식별할 수 있다는 점 > 사생활과 밀접한 관련이 있어 이를 도용한 2차 피해로 확산 가능한 점 > 뒤늦은 통지로 회원들이 유출에 신속히 대응할 수 있는 기회를 상실하게 한 점 > 유출된 정보가 추가적 피해로 이어졌다는 등으로 볼 자료는 제출되지 않았다는 점 > 소비자에게 서비스를 제공함에 있어 고객의 개인정보를 수집·보관이 필요하다는 점
③ 인터파크는 해커의 협박 메일로 7월 유출 사실을 인지(실제 사고로부터 2개월 뒤)하였으며, 그로부터 14일 뒤 이를 통지 > 7/11 APT 형태의 공격에 의한 침해 사실 인지 > 7/12 경찰청 사이버 안전국에 신고, 공조 시작 > 7/25 홈페이지 공지 사항에 침해 사고 관련 공지 게재
④ 국가부처의 지원 및 조치 - 미래부 (현재의 과기부) > 인터파크 조사 중 발견된 문제점을 개선·보완할 수 있도록 조사결과 및 개선사항 공유 등 보안강화 기술지원을 실시
- 방통위 > 침해사고를 인지한 후 인터파크에서 개인정보 유출 침해사고를 확인하고 해당 피해 사실 및 이용자 조치방법 등을 이용자에게 통지토록 조치 > 개인정보 보호조치 위반 관련 사항에 대해서는 ‘정보통신망이용촉진 및 정보보호 등에 관한 법률’에 따라 조치할 예정
기타
① 유출된 정보는 개인별로 차이가 있음 > 주민번호, 금융정보는 유출되지 않았으며 > 비밀번호는 암호화되어 있어 안전하다고 발표
② 인터파크는 2015년 개인정보관리체계(PIMS) 인증을 획득 받아, 유출 이후 피해 최소화에 방안을 세워 두었음
③ 당시 조사 결과 > 기업이 침해를 인지하는 경우는 31%로, 69%는 감사, 협박, 언론 공개 등으로 인지 >공격자의 침입 후 평균 205일(6개월) 지나서 침해 사실을 인지
④ 해당 사건은 북한 정찰총국의 소행으로 결론 > 해킹에 사용된 IP와 악성코드가 북한이 과거 사이버테러에 동원한 것과 유사하며, > 임원이 받은 협박 전자우편에 “총적(총체적)으로 쥐어짜면”이라는 북한식 표현이 있음
⑤ 악성메일 대응 방안 - 기업 측면 > 악성메일 탐지 솔루션 도입 > 모의훈련 > 악성메일로 인한 사고 대응 절차 확인
- 사용자 측면 > 메일 발신자 주소 확인 > 링크, 첨부파일 등 확인 시 주의 > 문서파일의 ‘콘텐츠 사용’ 등 매크로 기능 주의
- LG유플러스가 4일 오후 5시 경 서울과 경기 일대에서 또 다시 인터넷 장애가 발생 - LG유플러스 해킹으로 인한 고객 개인정보 유출은 최초 알려진 18만 명에 이어 11만 명의 해지 고객의 유출 사실이 추가로 확인
내용
- 4일 오후 5시 경 LG유플러스의 인터넷망에서 장애가 발생 > LG유플러스 인터넷 이용자들이 인터넷 장애로 카드 결제나 인터넷 접속에 큰 불편 > 지난 1월 29일 새벽 2시와 오후 6시 경에 이어 엿새 만에 세 차례나 발생한 것
- LG유플러스 측 > “디도스 공격으로 추정되는 대용량 데이터가 유입되면서 오후 한때 간헐적인 장애가 발생했다” > “디도스 공격을 차단한 후, 순차적으로 복구를 완료했고 현재는 정상적으로 서비스를 제공하고 있다”
- LG유플러스의 개인정보(성명, 생년월일, 전화번호 등) 유출 규모가 총 29만 명 > 1월 10일 게시한 공지사항에서 유출된 고객의 수는 최소 18만명 > 2월 3일 공지를 통해 이용자 11만 명에 대한 추가 개인정보 유출이 확인_2018년 LG유플러스를 이용하다 해지한 고객
- 2023.02.06 BGP 프로토콜을 악용한 DDoS 공격 확인 > BGP (Border Gateway Protocol): TCP 기반이며, 서로 다른 네트워크를 연결할 때 최적의 경로를 찾기위해 사용하는 라우팅 프로토콜로 179 포트 이용
- 2023.02.09 개인정보 유출 사고로 인해 피해를 입은 고객의 유심을 무상으로 교체 발표 > ‘스팸 알림 유료 서비스’도 전체 고객을 대상으로 (무료로) 확대 적용할 계획 > 전화번호 유출 피해자들의 범죄 노출 우려와 관련 번호를 교체 논의 계획 > 디도스 공격으로 영업에 피해를 본 소상공인에 대해 선보상하는 방안도 검토
- 2023.02.12 오후 10시 경 해커조직 ‘rxdancer751’이 “LG유플러스 고객 정보를 11만 달러에 팔겠다”고 자신들의 텔레그램 채널에 게시 > 해커조직 ‘rxdancer751’는 LG유플러스를 해킹해 3천만건의 고객정보를 탈취했다고 주장 > LG유플러스에서 탈취한 고객데이터라며 50개 파일로 나누어 59만건씩 총 3천만건 데이터 샘플이라며 캡처이미지를 공개하기도 함
기타
- LG유플러스 공식 홈페이지를 통해 ‘개인정보 유출 여부 및 정보항목 조회하기’ 서비스를 운영 > 개인의 유출 여부를 확인할 수 있도록 서비스 > 유출된 고객에게는 개인별로 문자와 이메일 등을 통해 정보 유출 사실을 안내
- BGP 프로토콜의 보안 문제점과 대응방안 ① 문제점 > 1:1(peer)사이의 통신에 사용되는 메시지에 무결성, 상호인증 등을 지원하지 않음 > AS(Autonomous System)의 권한을 증명할 메커니즘이 정의 되어있지 않음 > AS에 의해 announce 되는 경로의 속성이 신뢰 할 수 있는지 확인할 수 있는 메커니즘 없음
② 대응방안 > IP Prefix 필터링 > peer간 통신의 경우, MD5(해쉬함수)를 이용하여 메시지 인증수행 > PKI를 이용해 라우팅 정보의 무결성(암호화, 인증) 보장
