입장 바꾼 LG유플러스...홍범식 대표 뒤늦게 "당국에 해킹 피해 신고하겠다"

유창재 2025. 10. 21. 18:24
음성재생 설정 이동 통신망에서 음성 재생 시 데이터 요금이 발생할 수 있습니다. 글자 수 10,000자 초과 시 일부만 음성으로 제공합니다.
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
[국감-과방위] 이해민 의원 등 집중 추궁... "LG유플러스 보안 불감증 심각, 철저한 조사 필요"

[유창재, 유성호 기자]
 홍범식 LG유플러스 대표가 21일 오후 서울 여의도 국회 과학기술정보방송통신위원회에서 열린 정보통신기술 분야 산하기관 국정감사에 증인으로 출석해 해킹 사태 관련 의원 질의에 답변하고 있다.
ⓒ 유성호
엘지(LG)유플러스가 서버 해킹 피해를 인정하지 않다가 입장을 바꿔 당국에 피해 사실을 신고하겠다고 밝혔다.

홍범식 LG유플러스 대표는 21일 국회 과학기술정보방송통신위원회 정보통신기술(ICT) 분야 산하기관 국정감사에 증인으로 출석해 여러 의원들로부터 해킹 정황 축소 의혹 관련 질의를 받았다. 그러다 이해민 조국혁신당 의원이 '한국인터넷진흥원(KISA)에 신고하겠느냐'고 묻자 "그렇게 하겠다"고 답했다.

홍 대표는 "사이버 침해 사실을 확인한 이후에 신고하는 것으로 이해하고 있었는데 여러 혼란과 오해가 발생하고 있어 조금 더 적극적으로 검토할 예정"이라고 설명했다.

앞서 올해 7월 KISA는 해킹 정황을 확인하고 LG유플러스에 침해 사고 신고를 권유했다. 그러나 회사는 "유출 정황이 없다"면서 이를 받아들이지 않았다. 또 해킹 전문 매체 <프랙>이 지난 8월 케이티(KT)뿐만 아니라 LG유플러스도 서버 해킹 정황이 있다고 보도했으나 회사는 "침해 사실이 확인되지 않았다"며 당국에 신고하지 않고 있었다.

이 의원은 LG유플러스 서버의 취약점을 집중 추궁했다. 그는 "'정보는 유출됐으나 침해 정황은 없다'는 LG유플러스의 설명은 '도둑이 들어 집 밖에서 물건이 발견됐는데 들어온 흔적이 없다'는 말과 같다"고 지적했다.

이 의원이 LG유플러스에서 제출받은 자료에 따르면 LG유플러스가 운용하던 계정권한관리시스템(APPM) 솔루션에서 다수의 보안 취약점이 확인됐다. 해당 시스템은 모바일 접속 시 특정 숫자 입력과 메모리값 변조만으로 2차 인증 단계를 우회해 접근이 가능했고, 관리자 페이지에 별도 인증 없이 접근할 수 있는 백도어도 발견됐다. 또 소스코드 내에 비밀번호와 암호화 키 등이 평문으로 포함돼 있는 것으로 드러났다.

LG유플러스가 자체적으로 계정 권한 관리 시스템을 분석한 결과, 모바일로 시스템에 접속 시 2차 인증 단계에서 숫자 '111111'을 입력하고 특정 메모리 값을 변조하면 시스템에 접근할 수 있는 등 모두 8개의 보안 취약점이 제기됐다.

이 의원은 "LG유플러스가 비밀번호를 암호화하지 않고 소스코드 안에 그대로 노출했다는 것은 금고 바깥에 비밀번호를 써서 쪽지로 붙여 놓은 것과 같다"면서 "기술적인 문제 이전에 심각한 보안 불감증"이라고 비판했다.

이어 "여덟 가지 취약점 중 단 하나만 있어도 치명적인데, 이 정도면 해커를 위한 레드카펫을 깔아둔 수준"이라며 "동일 솔루션을 사용하는 다수 기업으로 피해가 확산될 우려가 크므로 과기정통부와 KISA는 민관합동조사단 수준의 전수조사에 즉시 착수해야 한다"고 촉구했다.

LG유플러스의 증거 관리에 대한 문제 제기도 있었다. 정부의 사실확인 요청에 따라 LG유플러스가 포렌식용 이미지 파일을 제출했으나 일부 서버를 폐기하고 재설치한 정황이 확인된 것.

이 의원은 "LG유플러스가 서버 운영체계(OS)를 재설치하고 이미지를 뜬 것을 제출했는데 (재설치 전) 상황 그대로가 이미지에 담겼다고 어떻게 보장을 할 수 있는지가 문제"라며 "시스템 재설치로 포렌식 증거가 훼손됐을 가능성에 대해 수사 의뢰 수준의 정밀조사가 필요하다"고 강조했다.

 김영섭 KT 대표(왼쪽부터), 홍범식 LG유플러스 대표, 유영상 SK텔레콤 대표가 21일 오후 서울 여의도 국회 과학기술정보방송통신위원회에서 열린 정보통신기술 분야 산하기관 국정감사에 증인으로 출석해 해킹 사태 관련 의원 질의에 답변하고 있다.
ⓒ 유성호
한편 이날 국감에서 증인으로 출석한 이동통신 3사 최고경영자(CEO)들이 허술한 보안 대응으로 여야 의원들로부터 집중 추궁과 함께 질타가 쏟아졌다.

김영섭 케이티(KT) 대표는 소액결제 피해 등 고객 피해에 대한 책임을 묻는 질의에 "피해 고객에 대해 적극적으로 배상하고, 전 고객을 대상으로 보상안을 검토하겠다"고 했다. 그럼에도 더불어민주당 의원들로부터 "피해 규모를 축소하려 한다"며 늑장 대응 지적을 받았으며, 일부 의원들은 이번 사태가 수습된 후 김 대표의 자진 사퇴를 요구했다.

올해 첫 해킹 사태로 가장 먼저 피해 사실을 공개하면서 여론의 뭇매를 맞았던 에스케이텔레콤(SKT) 유영상 대표는 KT·LG유플러스와 비교해 불이익을 감수하며 선재 신고했다는 재평가를 받기도 했다.

Copyright © 오마이뉴스. 무단전재 및 재배포 금지.

오마이뉴스에서 직접 확인하세요. 해당 언론사로 이동합니다.