ㅣ데일리포스트=곽민구 기자ㅣKT와 LG유플러스가 개인정보 침해사고 발생 정황과 관련해 비협조 논란이 일자 “적극 협조 중”이라고 입장을 밝혔다.
이번 침해사고 의심은 글로벌 해킹 권위지 '프랙 매거진'에 제보된 외국인 화이트해커 2인의 파일·데이터 세트에서 불거졌다.
해당 자료는 'KIM'이라는 공격자로부터 화이트해커 2인이 확보한 8GB에 달하는 한국 기관·기업 유출 데이터로, 행정안전부 행정전자서명(GPKI) 인증서, 외교부 내부 메일 서버 소스코드, 통일부·해양수산부 '온나라' 소스코드 및 내부망 인증 기록, 이동통신사 관련 자료 등이 담겨 있었다.
이 자료를 통해 KT는 웹서비스 서버 내 인증서(SSL 키)의 유출 정황이, LG유플러스는 ▲내부 서버 관리용 계정 권한 관리 시스템(APPM) 소스코드 및 데이터베이스 ▲8938대 서버 정보 ▲4만 2526개 계정 및 167명 직원·협력사 ID·실명 등이 유출된 정황이 드러났다.
그럼에도 KT와 LG유플러스가 정부에 신고를 하지 않은 것은, 해당 데이터가 침해사고를 통해 유출된 것이 아니라고 봤기 때문이다. 현행 정보통신망법은 정보통신서비스 기업이 침해사고 피해를 입었을 경우에만 신고 의무를 두고 있다.
이에 과학기술정보통신부(이하 과기정통부)와 KISA는 이번 정황과 관련해 KT와 LG유플러스 측의 자체 조사 결과를 먼저 기다렸던 것. 이후 침해사고 정황이 아니라는 양사의 주장을 듣고, 합동 현장점검을 요청해 지난달부터 현장검증을 진행하고 있다.
과기정통부는 1일 "통신사의 침해사고여부 확인을 위해 현장점검 및 관련 자료를 제출 받아 정밀 포렌식 분석 중"이라며 "통신사 침해사고 정황이슈와 관련해 침해사고가 확인되는 경우 투명하게 공개하겠다"고 밝혔다.
해당 내용이 언론 보도를 통해 알려지며 KT와 LG유플러스를 향한 ‘비협조 논란’이 일자, 양사는 2일 “정부 측 요청에 따라 성실하게 개인정보 침해사고 발생 정황의 현장검증에 협조하고 있다"고 입장을 전했다.
침해사고 여부를 떠나 내부의 주요 정보가 외부에 노출됐다는 것은 보안에 문제가 있다는 분명한 사실. 그럼에도 이를 빠르게 고지하지 않은 KT와 LG유플러스에 대한 비판의 시선이 쏠리고 있다.
이에 국회에서는 기업이 자진신고하지 않으면 인터넷진흥원이 기업 침해와 유출 사실을 정확히 들여다볼 수 없는 법적 한계에 대한 우려의 목소리가 커지며 정보통신망법 개정의 필요성이 제기되고 있다.
Copyright ⓒ 데일리 포스트 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
