LG 유플러스는 왜 해킹과 디도스 공격에 취약했나
뉴스스크랩
기사 제목
‘30만 정보 유출’... LG 유플러스는 왜 해킹과 디도스 공격에 취약했나
https://www.bloter.net/news/articleView.html?idxno=601078
기사 요약
LG유플러스의 개인정보유출 사태로 약 30만 명의 가입자 정보가 유출된 것으로 확인됐다. 정부는 이번 사태의 원인으로 LG유플러스의 보안 시스템의 취약점, 장비 외부 노출 등을 꼽았다.
앞서 지난 1월부터 LG유플러스를 대상으로 연이은 사이버공격이 발생했다. 이로 인해 현재까지 밝혀진 고객 유출 규모는 29만 7117명으로 확인됐다. 또 LG유플러스는 1월 29일(3회)과 2월 4일(2회) 등 총 5회에 걸친 디도스 공격으로 120분간 유선인터넷, VOD(주문형 비디오), 070 전화 서비스 장애도 발생했다.
정부의 조사 결과 고객 정보 유출은 고객인증 DB(데이터베이스)에서 발생했을 것으로 추정된다. 당시 고객인증 DB 시스템은 웹 관리자 계정 암호가 시스템 초기 암호인 ‘admin’으로 설정돼 있었다. 정부는 또 LG유플러스의 시스템에 웹 취약점이 있어 해당 관리자 계정으로 악성코드(웹셸)를 설치할 수 있었고, 관리자의 DB접근제어 등 인증체계가 미흡해 해커가 웹셸을 이용해 파일을 유출해 나갈 수 있었을 것으로 분석했다.
정부는 LG유플러스의 정보유출 및 디도스 공격 원인으로 부실한 대응 체계와 투자 부족 등을 꼽았다.
먼저 LG유플러스는 고객 데이터가 외부로 유출될 때 이를 실시간으로 감시하고 통제할 수 있는 자동화 시스템이 부재했다. 또 시스템별로 로그 저장 기준과 보관기간도 불규칙했다.
디도스 공격과 관련해서는 라우터 정보가 외부에 노출된 영향이 컸다. SK텔레콤(SKT)과 KT 등 타 통신사는 라우터 정보 노출을 최소화하고 있었지만, LG유플러스는 디도스 공격 전에 약 68개 이상의 라우터가 외부에 노출돼 있었다. 이에 디도스 공격자는 라우터 장비를 대상으로 과부하를 만들어 네트워크 장애를 유발했다.
LG유플러스의 주요 라우터는 신뢰할 수 없는 장비와도 통신이 가능한 상태로 운영되고 있었고, 비정상 패킷 수신이 가능했다. 일반적으로는 접근제어 정책(ACL, Access Control List)을 통해 라우터 간 통신유형을 제한한다. 또 라우터 보호를 위한 보안장비(IPS, Intrusion Protection System)도 설치되지 않은 것으로 나타났다.
이날 최광희 한국인터넷진흥원 본부장은 “라우터는 네트워크를 담당하는 주요 기기로 외부에서 식별할 수 없도록 관리해야 한다”며 “그러나 LG유플러스는 라우터의 IP(인터넷프로토콜)와 코드 정보가 노출된 상태로 있었고, 이로 인해 해커도 라우터를 식별할 수 있는 상황이 만들어졌다”라고 설명했다.
LG유플러스는 개인정보 보호 및 디도스 방어를 위한 긴급 진단과 IPS 및 솔루션 도입, 클라우드를 활용한 서비스의 긴급 점검, ACL 강화 등 즉시 개선이 가능한 부분을 조치 완료했다. IT(정보기술) 통합 자산관리 시스템, AI(인공지능) 첨단기술을 적용한 모니터링, 중앙 로그 관리 시스템, 통합관제센터 구축에 대한 세부 과제도 착수했다.
LG유플러스는 “새롭게 임명되는 최고정보보호책임자(CISO)와 최고개인정보보호책임자(CPO)를 주축으로 개인정보를 비롯한 전사적 정보보호 강화 활동을 지속할 예정”이라며 “진행상황은 단계별로 투명하게 공개하고 종합적 보안 대책은 추후 상세히 설명하겠다”라고 밝혔다.
핵심 기술 및 비즈니스 소개
디도스(DDoS : 분산 서비스 거부 공격)
인터넷 트래픽의 폭주로 공격 대상이나 그 주변 인프라를 압도하여 공격 대상 서버나 서비스, 네트워크의 정상적인 트래픽을 방해하는 악의적인 시도를 의미한다. 보안이 침해된 다수의 시스템을 공격 트래픽의 원천으로 활용하여 효과를 달성한다. 비유를 하자면, 예상치 못한 교통체증(ex. 교통사고)이 고속도로를 꽉 틀어막아 평상시의 트래픽이 목적지에 제대로 도달할 수 없도록 방해하는 것과 유사하다
<응용 프로그램 계층 공격>
http 폭주 : 한 번에 많은 컴퓨터에서 웹 브라우저의 새로 고침을 계속해서 누르는 것과 유사하며 많은 수의 http 요청이 서버를 폭주시켜 서비스 거부를 초래. 단순한 경우 - 동일한 IP 공격, 복잡한 경우 - 무작위 URL 대상으로 공격
<프로토콜 공격>
서버 내부 리소스 및 방화벽, 부하 분산장치 등의 네트워크 장비 리소스를 과도하게 소비하여 서비스 중단을 유도함
<볼류메트릭 공격>
DNS 증폭 : 마치 누군가가 식당에 전화를 걸어 "메뉴상의 모든 음식을 하나씩 주문할 테니 저에게 다시 전화를 걸어 주문 내용 전체를 확인하세요"라고 말하는 것과 같으며 이때의 회신 번호는 실제로는 피해자의 번호입니다. 아주 적은 노력만으로도 대량의 응답이 생성되어 피해자에게 전송되게 된다.
스푸핑된 IP 주소(피해자의 IP 주소)를 이용하여 개방형 서버에 요청을 보내도록 함으로써 대상 IP 주소는 서버로부터 응답을 받게 된다.
라우터
논리적, 물리적으로 분리된 망 사이를 지나는 패킷의 위치에 따라 최적화된 경로 지정하는 기능을 수행하는 장비. 상위 통신망과 하위 통신망을 중계해 주는 기계라고 할 수 있다. 컴퓨터 프로그래밍에서는 서버에 페이지의 주소를 할당받고 싶을 때 해당 기능을 이용한다. 즉, 네트워크 장애는 하나의 경로에 접속량이 과하게 몰려 정상적인 트래픽 제어가 불가능해져 발생한 것으로 이해하면 된다.
문제 상황 정리
데이터베이스의 허술한 관리로 보안 정보가 뚫리게 됨 (DB에서 관리자 계정을 보통 admin이라고 칭하는데, 비밀번호도 admin으로 그냥 뒀다는 것은 id: qwerty, pw: qwerty 이런 식으로 둔 것과 유사한 상황) -> 기존 LG는 라우터에 대한 보안이 강하지 않았으며 이미 비정상적인 연결이 존재할 정도로 취약한 상황 -> 해당 라우터 경로를 중심으로 집중적인 트래픽 몰림 -> 서버가 제대로 된 응답을 못하고 트래픽이 쌓일수록 통신이 마비되는 현상 -> 비정상적인 접근이나 과한 트래픽이 부과될 시 네트워크 상태를 자동으로 출력해 주는 시스템이 존재해야 하는데 그 부분이 하필 존재 x (네트워크의 상황이나 연결 상태를 실시간으로 확인할 수 있는 기록을 로그라고 함) -> 또한 로그의 형식과 기간 등의 통일성 부재로 신속한 대응이 불가능해 서버 마비 + 고객 데이터 유출이라는 최악의 상황 겪게 됨.
기사의 시사점 및 인사이트
- 서버 로그 데이터 : 실제 서버와의 데이터 교환이나 응답 수신 등을 진행하면 수많은 로그가 개인 개발창에 뜨게 된다. 로그를 지원하는 개발 패키지도 다양하게 존재하는데, 개발하는 단계에서 개발 수준에 맞게 develop, production… 등으로 형식, 내용 등이 달라지며 오류나 현재 연결 상태 등을 파악할 때 중요성이 부각된다.
또한 이는 로그 데이터라고 불리며 수집, 분석이 용이하도록 도움을 주는 툴도 다양하게 존재하는데, 페이스북 같은 대기업에서도 자체 스트리밍 데이터 처리를 위해 Scribe라는 툴을 개발하는 등 활발히 연구가 진행되는 분야임을 알 수 있다.
(배달의 민족 같은 경우에도 “우아한 기술 블로그"에서 로그 데이터를 다루는 칼럼이 존재하니 참고하면 좋을 듯하다. https://techblog.woowahan.com/2536/)
- 데이터 베이스 보안 : AWS, 오라클 등 클라우드 컴퓨팅이나 데이터 베이스를 제공해 주는 기업의 경우 자체 보안 시스템을 제공한다. 서버 유지비나 작업의 통일 및 용이성 때문에 어느 정도 IT 인프라가 갖춰진 대기업의 경우 자체 데이터베이스를 클라우드를 통해 구축하려는 시도를 보이고 있는 추세다. 다만 자체 서버 유지가 쉽지 않은 기술 중심 스타트업의 경우엔 초기 인프라 구축이 쉽지 않은 상황이며 인력 하나하나가 귀한 자원으로 역할을 맡으므로 별도의 보안 전문가가 존재하는 팀이 많지 않다. 사용자 데이터의 확보부터 사업에 활용까지 데이터 분석 역량이 모든 직군에 요구되는 현재의 추세로 미루어보아, 보안 이슈는 앞으로도 기업에게 크리티컬하게 작용할 것이며 규모에 관계없이 모든 기업이 일정 수준의 보안 역량을 갖추는 것은 필연적일 것 같다. 따라서 지금 시기의 이 틈새시장, 데이터베이스/서버 제공 ~ 스타트업 사이의 보안 역할을 충실히 수행할 수 있는 기업들이 돋보이지 않을까 하는 생각이 들었다.
함께 생각해 볼 만한 논점 1-2가지
Q. 해당 사례는 데이터 베이스의 암호 설정을 안일하게 해 둔 것이 발화점이 되어 기존 LG 유플러스의 열악했던 인프라 및 코드 관리가 소비자에게 드러난 사례라고 할 수 있다. 마이 데이터의 열풍과 함께 일반 소비자들 또한 개인 데이터의 중요성을 점점 인지해가는 지금, 데이터의 보안은 그 어느 때보다 중요한 역량 중 하나로 느껴진다.
이런 트렌드에 “빅코드"라는 용어가 등장하기 시작했는데, 과도하게 증가한 코드량에 유지보수가 점차 힘들어지는 상황을 의미한다. 혁신과 새로운 언어, 프레임워크, 패키지의 갱신이 자유로운 업계라 그런지 발전과는 별개로 “관리" 측면에서 점점 난해해지고 있다고 생각하는데, 이러한 IT 인프라를 관리하기 위해 기업들의 향후 방향은 어떨지 고민해 볼 만하다.
