민관합동조사단 조사 결과 LGU+ APPM 서버에서 정보 유출 확인
LGU+, KISA의 침해 정황 안내 후 OS 재설치…공무집행 방해 판단
![[서울=뉴시스] LG유플러스 용산 사옥. (사진=심지혜 기자)](https://img1.newsis.com/2023/11/10/NISI20231110_0001408700_web.jpg?rnd=20231110103810)
[서울=뉴시스] LG유플러스 용산 사옥. (사진=심지혜 기자)
[서울=뉴시스]윤현성 박은비 기자 = LG유플러스 내부 서버에서 서버목록, 서버 계정정보, 임직원 성명 등 정보가 실제 유출된 것으로 확인됐다. 다만 LG유플러스 일부 서버에 대한 운영체제(OS) 업그레이드·재설치·폐기 등이 이뤄지며 추가적인 침해사고 흔적 확인 및 조사가 불가능한 상황인 것으로 나타났다. 정부는 이같은 LG유플러스의 서버 폐기 행위를 부적절한 공무집행 방해 행위로 보고 경찰에 수사를 의뢰했다.
과학기술정보통신부는 LG유플러스 침해사고에 대한 민관합동조사단 조사 결과를 발표하며 LG유플러스 내부 서버에서 일부 정보가 유출됐음을 확인했다고 밝혔다.
과기정통부에 따르면 한국인터넷진흥원(KISA)는 익명의 제보자로부터 LG유플러스의 자료 유출 관련 정보를 지난 7월18일 입수했으며, 하루 뒤 LG유플러스에 관련 사항을 공유하고 침해사고 신고를 안내했다.
이후 과기정통부와 KISA는 자체 조사단을 구성해 8월25일부터 LG유플러스의 현장 조사를 실시했고, 이후 LG유플러스가 10월23일 KISA에 침해사고를 신고한 후 10월24일부터 조사단을 구성·운영했다.
익명의 제보자가 유출됐다고 주장한 LG유플러스의 통합 서버 접근제어 솔루션(APPM)과 연결된 정보(서버목록, 서버 계정정보 및 임직원 성명)는 조사결과 실제 LG유플러스에서 유출된 것으로 확인됐다.
조사단은 LG유플러스에서 제출받은 APPM 서버에 대해서 정밀 포렌식 분석을 진행한 결과, 익명의 제보자가 공개한 LG유플러스의 자료와 다르다는 점을 확인했다. 자료가 유출됐을 것으로 추정되는 또 다른 APPM 서버는 8월12일 운영체제 업그레이드 등의 작업이 이뤄져 침해사고 흔적을 확인할 수 없는 상황임을 확인했다.
아울러 익명의 제보자는 공격자가 LG유플러스에 APPM 솔루션을 제공하는 협력사를 해킹한 후 LG유플러스에 침투했음을 주장했다. 조사단은 이 주장에 대해서도 확인을 시도했으나, 협력사 직원의 노트북에서부터 LG유플러스의 APPM 서버로 이어지는 네트워크 경로상의 주요 서버 등이 8월12일~9월15일에 걸쳐 모두 OS 재설치 또는 폐기돼 조사가 불가능한 상황임을 확인했다.
조사단은 LG유플러스의 관련 서버의 OS 재설치 또는 폐기 행위가 KISA가 침해사고 정황 등에 대해 안내한 7월19일 후에 이뤄진 점을 고려할 때, 이를 부적절한 조치로 판단하고 위계에 의한 공무집행 방해로 이달 9일 경찰청에 수사를 의뢰했다.
이같은 정부 발표에 대해 LG유플러스 측은 "경찰 수사에 성실히 임하겠다"는 짧은 입장을 밝혔다.
◎공감언론 뉴시스 [email protected], [email protected]
과학기술정보통신부는 LG유플러스 침해사고에 대한 민관합동조사단 조사 결과를 발표하며 LG유플러스 내부 서버에서 일부 정보가 유출됐음을 확인했다고 밝혔다.
과기정통부에 따르면 한국인터넷진흥원(KISA)는 익명의 제보자로부터 LG유플러스의 자료 유출 관련 정보를 지난 7월18일 입수했으며, 하루 뒤 LG유플러스에 관련 사항을 공유하고 침해사고 신고를 안내했다.
이후 과기정통부와 KISA는 자체 조사단을 구성해 8월25일부터 LG유플러스의 현장 조사를 실시했고, 이후 LG유플러스가 10월23일 KISA에 침해사고를 신고한 후 10월24일부터 조사단을 구성·운영했다.
익명의 제보자가 유출됐다고 주장한 LG유플러스의 통합 서버 접근제어 솔루션(APPM)과 연결된 정보(서버목록, 서버 계정정보 및 임직원 성명)는 조사결과 실제 LG유플러스에서 유출된 것으로 확인됐다.
조사단은 LG유플러스에서 제출받은 APPM 서버에 대해서 정밀 포렌식 분석을 진행한 결과, 익명의 제보자가 공개한 LG유플러스의 자료와 다르다는 점을 확인했다. 자료가 유출됐을 것으로 추정되는 또 다른 APPM 서버는 8월12일 운영체제 업그레이드 등의 작업이 이뤄져 침해사고 흔적을 확인할 수 없는 상황임을 확인했다.
아울러 익명의 제보자는 공격자가 LG유플러스에 APPM 솔루션을 제공하는 협력사를 해킹한 후 LG유플러스에 침투했음을 주장했다. 조사단은 이 주장에 대해서도 확인을 시도했으나, 협력사 직원의 노트북에서부터 LG유플러스의 APPM 서버로 이어지는 네트워크 경로상의 주요 서버 등이 8월12일~9월15일에 걸쳐 모두 OS 재설치 또는 폐기돼 조사가 불가능한 상황임을 확인했다.
조사단은 LG유플러스의 관련 서버의 OS 재설치 또는 폐기 행위가 KISA가 침해사고 정황 등에 대해 안내한 7월19일 후에 이뤄진 점을 고려할 때, 이를 부적절한 조치로 판단하고 위계에 의한 공무집행 방해로 이달 9일 경찰청에 수사를 의뢰했다.
이같은 정부 발표에 대해 LG유플러스 측은 "경찰 수사에 성실히 임하겠다"는 짧은 입장을 밝혔다.
◎공감언론 뉴시스 [email protected], [email protected]
