홍범식 LGU+ 대표 "해킹 피해 사실 신고하겠다"

[프라임경제] 해킹 피해를 인정하지 않던 LG유플러스(032640)가 피해 사실을 한국인터넷진흥원(KISA)에 신고하겠다고 밝혔다.

21일 국회 과학기술정보방송통신위원회에서 열린 정보통신기술(ICT) 분야 산하기관 국정감사에서 통신 3사 대표들이 일어서서 위원 질의를 듣고 있다. 왼쪽부터 홍범식 LGU+ 대표이사, 유영상 SKT 대표이사, 김영섭 KT 대표이사. ⓒ 연합뉴스

홍범식 LG유플러스 대표는 21일 국회 과학기술정보방송통신위원회 정보통신기술(ICT) 분야 산하기관 국정감사에서 이해민 조국혁신당 의원이 KISA에 신고하겠느냐고 묻자 "신고하겠다"고 답했다.

홍 대표는 "사이버 침해 사실을 확인한 이후에 신고하는 것으로 이해하고 있었는데 여러 혼란과 오해가 발생하고 있어 조금 더 적극적으로 검토할 예정"이라고 말했다.

이 의원이 LG유플러스로부터 제출받은 자료에 따르면 LG유플러스가 운용하던 계정권한관리시스템(APPM) 솔루션에서 치명적인 보안 취약점이 다수 확인된 것으로 파악됐다. 

해당 서버의 소스코드·설정파일·데이터베이스 일체가 유출된 정황이 있으며, 이후 일부 서버가 재설치·폐기된 정황이 포착돼 증거보전·은폐 의혹도 함께 제기됐다.

의원실에서 확보한 취약점 목록에 따르면 해당 시스템은 모바일 접속 시 2차 인증 단계에서 특정 숫자 입력과 메모리 값 변조만으로 접근이 가능한 취약점, 관리자 페이지에 별도 인증 없이 접근 가능한 백도어, 소스코드 내 평문 노출된 비밀번호·암호화 키 등 총 8건의 중대 결함을 안고 있었다. 

 

당초 프랙보고서에서 유출된 것으로 지목된 자료에는 서버 목록(서버명·IP 등) 약 8000여대와 계정 약 4만여건, 직원·협력사 167명의 실명·ID 등이 포함된 것으로 알려졌다. 

이 자료는 시큐어키가 제작한 계정권한관리시스템 관련 파일에서 확인된 것으로 시큐어키는 자체적으로 KISA 등 관계기관에 유출 사실을 신고했으나, LG유플러스는 "침해 정황 없음"이라며 정식 신고를 하지 않은 상태다.

이 의원은 "LG유플러스가 비밀번호를 암호화하지 않고 소스코드 안에 그대로 노출했다는 것은 금고 바깥에 비밀번호를 써놓은 수준"이라며 "기술적인 문제 이전에 심각한 보안 불감증"이라고 꼬집었다.

또한 이 의원은 "LG유플러스가 서버를 재설치하면서 로그와 메모리 데이터가 모두 사라졌다"며 "제일 중요한 부분인 이미징은 누가 떴느냐"고 물었다. 

이에 홍 대표는 "구체적으로 어떤 사람이 떴는지는 잘 모르겠다"고 답했다. 

이 의원은 "LG유플러스가 서버 운영체계(OS)를 재설치하고 이미지를 뜬 것을 제출했는데 (재설치 전) 상황 그대로가 이미지에 담겼다고 어떻게 보장을 할 수 있는지가 문제"라며 "이 과정에서 보안사고 매뉴얼대로 했는지 조사가 꼭 필요하다"고 힘줘 말했다.