과학기술정보통신부는 서울정부종합청사에서 29일 LG유플러스 침해사고에 대한 민관합동조사단 조사 결과를 발표했다. 조사단은 익명의 제보자가 제기한 LG유플러스 침해사고 정황에 대해 사실관계를 확인하는 데 주력했으나 LG유플러스 서버 폐기 등으로 인해 핵심 경위를 규명하는 데 한계가 있었다고 밝혔다. 이에 따라 LG유플러스에 대해 위계에 의한 공무집행 방해 혐의로 수사를 의뢰했다.
한국인터넷진흥원(KISA)은 7월18일 익명의 제보자로부터 LG유플러스 내부 시스템과 연계된 정보가 외부로 유출됐다는 정황을 제보받았다. KISA는 다음 날인 7월19일 LG유플러스에 해당 내용을 공유하고 침해사고 신고 절차를 안내했다.
과학기술정보통신부와 KISA는 사안의 중대성을 고려해 자체 조사단을 구성했다. 조사단은 8월25일부터 LG유플러스 현장 조사를 시작했다. LG유플러스는 10월23일에야 KISA에 공식적으로 침해사고를 신고했다. 조사단은 10월24일부터 본격적인 조사에 착수해 침해 경위와 피해 범위를 확인했다.
조사 결과 익명의 제보자가 유출됐다고 주장한 정보 가운데 일부는 실제 LG유플러스에서 외부로 유출된 사실이 확인됐다. 유출이 확인된 정보는 LG유플러스의 통합 서버 접근제어 솔루션(APPM)과 연결된 자료로 서버 목록 서버 계정 정보 임직원 성명 등이 포함됐다.
APPM은 시스템 계정의 패스워드를 주기적으로 일괄 변경하고 관리하며 사용자에게 패스워드를 자동 생성해 발급하는 통합 패스워드 관리 솔루션이다. 해당 시스템은 다수 내부 서버 접근 권한과 연동돼 있어 보안상 핵심 인프라로 분류된다. 그럼에도 관련 정보가 외부로 유출된 점이 확인되면서 내부 보안 관리 체계 전반에 심각한 허점이 있었던 것으로 드러났다.
조사단은 LG유플러스로부터 제출받은 APPM 서버에 대해 정밀 포렌식 분석을 실시했다. 제출받은 APPM 서버에 대해서 정밀 포렌식 분석을 진행한 결과 익명의 제보자가 공개한 LG유플러스 자료와 상이한 것을 확인했다. 자료가 유출됐을 것으로 추정되는 또 다른 APPM 서버는 운영체제 업그레이드가 이뤄져 침해사고 흔적을 확인할 수 없었다.
제보자는 공격자가 LG유플러스에 APPM 솔루션을 제공하는 협력사를 해킹한 후 LG유플러스에 침투하였음을 주장했지만 협력사 직원 노트북에서부터 LG유플러스 APPM 서버로 이어지는 네트워크 경로상의 주요 서버 등이 모두 OS 재설치 또는 폐기돼 조사가 불가능했다. 해당 조치는 8월12일부터 9월15일 사이에 집중적으로 진행돼 공격자가 실제로 어떤 경로를 통해 침투했는지 여부를 확인할 수 없게 됐다.
조사단은 특히 LG유플러스의 서버 운영체제 재설치 및 장비 폐기 시점에 주목했다. 해당 조치가 KISA가 침해사고 정황을 안내하고 관련 자료 보존의 필요성을 전달한 7월19일 이후에 이뤄졌다는 점이 확인됐기 때문이다. 이 같은 행위는 침해사고 조사를 어렵게 만들었을 뿐만 아니라 공공기관의 정당한 조사 활동을 방해한 행위로 봤다. 조사단은 LG유플러스의 관련 행위가 위계에 의한 공무집행 방해에 해당할 소지가 있다고 보고 지난 9일 경찰청에 수사 의뢰한 바 있다.
배경훈 과학기술정보통신부 장관은 LG유플러스 침해사고의 심각성을 강조했다. 배 장관은 이번 사고가 SK텔레콤 침해사고에 이어 국가 핵심 기간통신망에서 연이어 보안 허점이 드러난 중대한 사건이라고 평가했다.
<저작권자 © ‘재테크 경제주간지’ 머니S, 무단전재 및 재배포 금지>