LGU+, 시스템 암호화 미비로 고객정보 유출 의혹
회사 측, 침해 사실 없다며 기관에 해킹 신고 거부
국정감사 지적에 "KISA에 신고 후 조사 응하겠다"
그간 보안 퍼스트·무사고·모의해킹' 강조해왔지만
정작 기본 원칙 미준수…"수박 겉핥기 식 개선 불과"

LG유플러스 용산사옥 전경. (사진=LG유플러스)
LG유플러스 용산사옥 전경. (사진=LG유플러스)

[뉴스포스트=최종원 기자] SK텔레콤의 고객유심 정보 탈취 사태가 발생한 지 반년이 채 안된 시점에서 LG유플러스에 해킹 의혹이 번지고 있다. 해커로부터 일부 고객 정보와 임직원 실명, 서버 정보가 유출됐다는 의혹이다. LG유플러스는 지난 7월 '보안 퍼스트'를 선언하며 고객정보 보호를 최우선 가치로 하겠다고 밝혔는데, 해당 기조와 역행하는 셈이다.

침해 사실 없었다는데…암호화 미비·은폐 의혹 제기

배경훈 부총리 겸 과학기술정보통신부 장관이 22일 오후 서울 종로구 정부서울청사에서 열린 '범부처 정보보호 종합대책' 합동브리핑에 참석하고 있다. (사진=뉴시스)
배경훈 부총리 겸 과학기술정보통신부 장관이 22일 오후 서울 종로구 정부서울청사에서 열린 '범부처 정보보호 종합대책' 합동브리핑에 참석하고 있다. (사진=뉴시스)

22일 통신업계에 따르면 과학기술정보통신부는 지난 7월 18일 LG유플러스가 해킹당했다는 제보를 받아 같은달 19일 LG유플러스에 자체 점검을 요청했다. 내용은 LG유플러스의 '계정 권한 관리 시스템' 서버 정보와 4만여개의 계정 등이 유출됐다는 것이다. 

미국 보안 전문매체 프랙도 지난 8월 LG유플러스가 해커 그룹 '김수키'로부터 LG유플러스가 서버 정보와 계정 정보 4만여개, 직원 167명의 ID와 실명을 탈취당했다는 사실을 보도했다. 

한국인터넷진흥원(KISA)은 화이트해커로부터 침해 정황 제보를 접수받아 LG유플러스에 신고·조사 참여를 요청했지만 협력사인 시큐어키만 조사에 응했을 뿐 LG유플러스는 조사에 응하지 않았다. 회사는 8월 13일 "침해 사고 흔적이 없다"며 의혹을 부인했다. 

하지만 이번 국회 과학기술정보방송통신위원회(과방위) 국정감사에서 여러 보안 취약점이 지적됐다. 이해민 조국혁신당 의원에 따르면 LG유플러스는 모바일로 시스템에 접속 시 2차 인증 단계에서 숫자 '111111'을 입력하고 특정 메모리 값을 변조하면 시스템에 접근할 수 있는 등 8개의 보안 취약점이 드러났다.

(왼쪽부터) 홍범식 LGU+ 대표, 조좌진 롯데카드 대표, 김광일 MBK 대표이사, 유영상 SKT 대표, 김영섭 KT 대표 21일 서울 여의도 국회에서 열린 과학기술정보방송통신위원회의 정보통신산업진흥원 등 국정감사에 출석하고 있다. (사진=뉴시스)
(왼쪽부터) 홍범식 LGU+ 대표, 조좌진 롯데카드 대표, 김광일 MBK 대표이사, 유영상 SKT 대표, 김영섭 KT 대표 21일 서울 여의도 국회에서 열린 과학기술정보방송통신위원회의 정보통신산업진흥원 등 국정감사에 출석하고 있다. (사진=뉴시스)

PC 웹페이지 업무망에는 인증 없이 관리자 모드로 들어갈 수 있는 '백 도어'가 있었고, 유출된 소스코드에는 '백 도어'의 비밀번호 3자리까지 담겨 있었다. 업무망 앱의 초기 설정 비밀번호도 암호화되지 않은 채 노출되는 등 암호화도 미비했다는 지적이다.

이 의원은 "LG유플러스가 비밀번호를 암호화하지 않고 소스코드 안에 그대로 노출했다는 것은 금고 바깥에 비밀번호를 써서 쪽지로 붙여 놓은 꼴"이라며 "기술적인 문제 이전에 심각한 보안 불감증"이라고 지적했다.

해킹 정황이 있는 서버를 업데이트해 해킹 사실을 은폐하려 했다는 의혹도 제기됐다. 최민희 과방위원장은 "LG유플러스가 보안 용역을 의뢰해 해킹 의혹을 해명하겠다고 보고했다"며 "KT 서버 폐기로 조사에 난항을 겪는 것을 알면서 남몰래 해킹서버를 폐기하고 보안 용역 의뢰를 보고한 것은 정부와 국회를 기만한 것"이라고 비판했다.

빛 바랜 정보보호 7000억 투자…화이트해커 해킹 의뢰

홍관희 LG유플러스 정보보안센터장이 보안퍼스트 전략을 소개하는 모습. (사진=LG유플러스)
홍관희 LG유플러스 정보보안센터장이 보안퍼스트 전략을 소개하는 모습. (사진=LG유플러스)

LG유플러스는 통신 3사 중 '보안 무사고'를 강조하며 SKT 해킹 의혹 당시 정보보호 투자 성과를 강조한 바 있다. 한국인터넷진흥원(KISA) 정보보호 공시 기준 LG유플러스의 정보보호 투자는 2022년 442억원에서 2024년 828억원으로 87% 늘어났고, 같은 기간 전담 인력도 117명에서 293명으로 약 2.5배 증가했다.

LG유플러스는 지난 7월 29일 기자간담회에서 '보안 퍼스트' 전략을 소개하며 올해도 30% 이상 투자를 확대하며, 향후 5년 동안 약 7000억원을 투자한다고 밝혔다. 또 2027년까지 회사에 특화된 제로 트러스트(모든 접근을 신뢰하지 않고 항상 검증을 수행하는 보안 모델) 체계를 구축할 것이라고 덧붙였다.

홍관희 LG유플러스 정보보안센터장(전무)는 "LG유플러스는 국내 기업 중 어느 곳보다 빠르게 보안의 중요성을 실감하며, 계획에 따라 체계적으로 보안 수준을 높여 왔다"며 "앞으로도 전략적 투자로 빈틈없는 보안을 실현하고, 고객이 체감할 수 있는 보안을 제공하는 통신사로 나아갈 것"이라고 밝혔다.

LG유플러스 임직원이 모의해킹 진행 상황에 대한 정보를 공유하고 있는 모습. (사진=LGU+)
LG유플러스 임직원이 모의해킹 진행 상황에 대한 정보를 공유하고 있는 모습. (사진=LGU+)

여기에 회사는 지난해 11월부터 외부 화이트해커 집단으로부터 모의해킹을 의뢰해 잠재된 취약점을 발굴하고 있고, 내년 상반기까지 모의해킹을 연장해 지속적으로 취약점 탐색에 나선다고 밝혔다. 사전 정보 없이 실전처럼 외부 전문가에 의해 보안성을 확인받는다는 것이다.

홍 전무는 "국내에서 비슷한 규모를 찾기 힘들 정도로, 최장 기간 동안 모든 수단을 동원해 위험 요소를 찾는 작업"이라며 "외부에서 노릴 수 있는 공격 표면을 최소화해, 고객이 안심하고 자사 서비스를 이용할 수 있도록 하는 것이 목표"라고 말했다.

하지만 이번 해킹 의혹에선 기본 원칙인 서버 암호화 조치도 이행하지 않아 정말 전문가로부터 자문을 받은 게 맞는지 의문이 커지고 있다. 회사는 특히 해킹 피해를 입은 것으로 추정된 운영 체계를 업데이트한 것으로 알려져, 피해 사실을 알았음에도 은폐한 게 아닌지 비판이 이어지고 있다. 

김장겸 국민의힘 의원은 국감에서 "SKT 해킹 사태 났을 때도 KT, LG유플러스를 살펴보라고 그렇게 강조했는데 수박 겉 핥기 식 개선에 불과하단 생각이 든다"고 질타했다.

"KISA 개인정보 침해 조사 성실히 임하겠다"

홍범식 LGU+ 대표가 21일 서울 여의도 국회에서 열린 과학기술정보방송통신위원회의 정보통신산업진흥원 등 국정감사에서 의원 질의에 답하고 있다. (사진=뉴시스)
홍범식 LGU+ 대표가 21일 서울 여의도 국회에서 열린 과학기술정보방송통신위원회의 정보통신산업진흥원 등 국정감사에서 의원 질의에 답하고 있다. (사진=뉴시스)

지적이 이어지자 LG유플러스는 당국에 피해 사실을 신고해 조사에 임하겠다고 밝혔다. 홍범식 LG유플러스 대표는 21일 국회 과방위 국정감사에서 이 의원이 한국인터넷진흥원(KISA)에 신고할 것이냐는 질의에 "그렇게 하겠다"고 답했다.

홍 대표는 "사이버 침해 사실을 확인한 이후에 신고하는 것으로 이해하고 있었는데 여러 혼란과 오해가 발생하고 있어 조금 더 적극적으로 검토할 예정"이라고 덧붙였다.

LG유플러스 관계자는 "KISA 조사에 성실히 임해서 투명하게 밝힐 수 있도록 하겠다"고 밝혔다.

저작권자 © 뉴스포스트 무단전재 및 재배포 금지