KT와 LG유플러스를 상대로 제기된 해킹 의혹과 관련해, LG유플러스 서버를 관리하는 외주 업체가 실제 해킹 사고를 정부 기관에 신고한 것으로 드러났다. 반면, 정작 통신사 본체는 정보 유출 사실을 부인하며 별도의 신고를 하지 않아, 대응 과정에서 정보보호 체계의 미비점이 드러났다는 지적이 제기되고 있다.
15일 국회 과학기술정보방송통신위원회 소속 박충권 국민의힘 의원실이 한국인터넷진흥원(KISA)으로부터 제출받은 자료에 따르면, LG유플러스와 협력 관계에 있는 보안업체 시큐어키는 지난 7월 31일 KISA에 해킹 피해 사실을 공식 신고했다. 앞서 KISA는 7월 19일, 해킹 정황을 파악하고 KT, LG유플러스, 시큐어키에 침해사고 가능성을 알리며 신고를 안내한 바 있다.
이번 해킹 사건은 미국 보안 전문 매체 '프랙'이 최근 밝힌 자료를 통해 알려졌다. 보도에 따르면, 해커 조직은 시큐어키의 시스템을 침해해 확보한 계정 정보를 바탕으로 LG유플러스의 내부망에 접근했고, 이 과정에서 약 8,900여 대의 서버 정보와 4만2천 개 이상의 계정 및 167명의 임직원 관련 정보가 유출된 것으로 추정된다. KT의 경우에도 보안 인증서(SSL 키)가 유출됐다는 정황이 포착됐지만, 해당 키는 이미 유효 기간이 만료된 것으로 알려졌다.
그러나 KT와 LG유플러스는 “직접적인 정보 유출 정황이 확인되지 않았다”며 침해 사고 신고를 하지 않은 것으로 나타났다. LG유플러스 측은 “시큐어키로부터 유출된 아이디와 패스워드를 통한 내부 접근 흔적은 없으며, 비밀번호가 복호화가 불가능한 일방향 암호화 방식이므로 침해 신고 요건에 해당하지 않는다”고 해명했다. 해당 내용은 과학기술정보통신부의 조사를 통해 더 구체적으로 밝혀질 예정이다.
이에 대해 개인정보보호위원회는 양사의 자진 신고가 없는 상황에서도, 이용자 정보 유출 의혹에 대한 독자적인 조사에 착수했다. 신고 여부와 무관하게 개인정보 보호 차원에서 조치를 반드시 취해야 한다는 입장이다. 국회에서도 관련 제도 개선 필요성이 제기됐다. 박충권 의원은 “기업이 신고를 회피하면 정부 대응이 지연될 수밖에 없다”며, “이번 사건을 계기로 법적 제재 및 예방 시스템을 강화해야 한다”고 강조했다.
이 같은 민간 기업의 정보보호 대응 미흡 사례는 향후 다른 주요 산업의 사이버 보안 체계로까지 신뢰 문제를 확산시킬 수 있어 우려된다. 전문가들은 통신망과 같은 핵심 인프라를 관리하는 기업들이 자진 신고, 보안 강화 등 선제적 대응을 하지 않으면 더 심각한 정보 유출 사태로 이어질 가능성이 높다고 보고 있다.
<저작권자 ⓒ TokenPost, 무단전재 및 재배포 금지>