해킹 서버 OS 업데이트한 LG유플러스···포렌식 분석 방해 의혹

사진=LG유플러스 제공

LG유플러스가 서버 계정 권한 관리 시스템(APPM) 해킹 직후 서버 운영체제(OS)를 업데이트해 포렌식 분석을 어렵게 했다는 의혹이 나왔다.

20일 국회 과학기술정보방송통신위원회 최민희 위원장에 따르면 지난 7월 18일 익명의 화이트해커가 KT와 LG유플러스에서 서버 해킹이 있었다는 제보를 전달한 직후 한국인터넷진흥원(KISA)은 두 회사에 내용을 통보하고 자체 점검을 요구했다.

이어 약 한 달 뒤인 8월 11일 과학기술정보통신부가 LG유플러스에 자체 조사 결과를 제출하라고 요구했고 다음 날 이 회사는 APPM과 관련되는 서버 OS를 업데이트했다.

최 위원장은 "OS 업데이트는 기존 서버에 덮어씌우는 방식으로, 포렌식 분석을 매우 어렵거나 사실상 불가능하게 하는 데이터 삭제나 다름없다"고 비판했다.

관리 시스템인 APPM 내에는 8900여개 서버가 존재하며 이 가운데 이용자 개인정보 보호와 관련된 서버가 있는지는 확인되지 않았다.

APPM 소스 코드와 데이터베이스가 유출되면서 이 회사 및 협력사 직원 167명 실명, ID 등과 계정 4만2526개 정보가 유출된 것으로 파악됐다. 해커가 정보에 접근한 기록은 지난 4월 16일까지다.

LG유플러스는 지난 8월 13일 과기정통부에 '침해사고 흔적 없음'으로 통보했지만 과기정통부와 KISA는 같은 달 22일 KT, LG유플러스가 사이버 침해를 당했다고 잠정 결론 내렸다.

LG유플러스는 지난달 KISA에 서버를 이중화한 '스탠바이 서버' 이미지 자료를 제출했다. 하지만 최 위원장은 OS 업데이트 이후 자료여서 이전 데이터 기록이 포함되지 않았다고 지적했다.

최 위원장은 "최근 과기정통부는 KISA에 LG유플러스 서버 폐기 등 관련 보고서 작성을 지시했고 현장 조사에서 서버 폐기 등 정황을 발견했다"며 "국가정보원은 지난 8월 이미 KT, LGU+ 해킹 관련 보고를 정보위원회 양당 간사실에 직접 보고했다"고 설명했다.

최 위원장에 따르면 과기정통부는 LG유플러스에 대해 자료 폐기 의혹 등으로 수사 의뢰를 검토 중이다.

LG유플러스 관계자는 "APPM 서버 업데이트 진행 이전과 이후에 각각 서버의 이미지를 KISA에 포렌식을 위해 제출했고 향후 해당 사항에 대해 투명하게 밝힐 수 있도록 현재 진행 중인 조사에 성실히 임하겠다"고 말했다.