▲ 사진=픽사베이

사이버 해킹 피해를 인정하지 않았던 LG유플러스가 당국에 피해 사실을 신고하겠다고 입장을 바꿨다.

홍범식 LG유플러스 대표는 오늘(21일) 국회 과학기술정보방송통신위원회 정보통신기술(ICT) 분야 산하기관 국정감사에 출석해 한국인터넷진흥원(KISA)에 침해 사실을 신고하겠느냐는 이해민 조국혁신당 의원의 질의에 "그렇게 하겠다"고 답했다.

홍 대표는 "사이버 침해 사실을 확인한 이후에 신고하는 것으로 이해하고 있었다"며, 여러 혼란과 오해가 발생하고 있어 조금 더 적극적으로 검토할 예정이라고 덧붙였다.

LG유플러스 측은 홍 대표 발언에 대해 "현재까지 조사에서는 침해 사실이 발견되지 않았지만, 국민적 염려와 오해를 해소하는 차원에서 국회와 과기부의 절차에 따라 적극적으로 대응하겠다는 의미"라고 덧붙였다.

실제로 내부 서버 정보가 침해됐다고 인정하는 건 아니라는 취지인데, 이해민 의원은 이에 대해서도 "이해되지 않는다"고 비판했다.

이 의원은 "집에 도둑이 들어서 밖에 내 물건이 발견됐는데, 도둑은 들어왔던 흔적이 없다는 소리"라며 LG유플러스의 보안 취약점을 지적했다.

LG유플러스의 자체 계정 권한 관리 시스템 분석 결과, 모바일로 시스템에 접속하는 2차 인증 단계에서 숫자 '111111'을 입력하고, 특정 메모리값을 변조하면 시스템에 접근할 수 있는 등 여러 보안 취약점이 드러났다.

또, 웹페이지에는 별도 인증 없이 관리자 페이지에 접근할 수 있는 백도어가 있었고, 소스코드에는 백도어에 접속할 수 있는 비밀번호 3자리와 계정 관리에 필요한 비밀번호가 암호화되지 않은 채 평문으로 노출돼 있었던 것으로 확인됐다.

이 의원은 "LG유플러스가 비밀번호를 암호화하지 않고 소스코드 안에 그대로 노출했다는 것은 금고 바깥에 비밀번호를 써서 쪽지로 붙여 놓은 꼴"이라며, 기술적인 문제 이전에 심각한 보안 불감증이라고 지적했다.

그러면서 "LG유플러스가 서버 운영체계(OS)를 재설치하고, 하드디스크 이미지를 떠서 정부에 제출했는데 (재설치 전) 상황 그대로가 이미지에 담겼다고 어떻게 보장을 할 수 있느냐"며, "이 과정에서 보안사고 매뉴얼대로 했는지 조사가 꼭 필요하다"고 강조했다.