[국감 '25] 홍범식 LG유플러스 대표 "사이버 침해, 당국에 신고하겠다"

LG유플러스가 외부 제기 보안 의혹에 대해 당초 해킹 피해를 부인하다가 국회 국정감사에서 당국 신고로 방향을 전환했다.

홍범식 LG유플러스 대표는 21일 과학기술정보방송통신위원회 산하기관 국정감사에서 “한국인터넷진흥원(KISA)에 신고하겠다”고 답했고, 의원들은 보안관리 실패에 따른 책임·후속 조치 등을 잇따라 촉구했다.

이해민 조국혁신당 의원의 질의에 응답한 홍 대표는 “사이버 침해 사실을 확인한 뒤 신고하는 것으로 이해해 왔으나, 혼란과 오해가 발생하고 있어 적극적으로 검토하겠다”고 말했다. LG유플러스는 이날 자체 분석 결과를 토대로 내부 시스템의 보안 취약점을 확인했고, 이에 대한 외부 신고와 수습 절차를 검토하겠다는 입장을 명확히 한 셈이다.

국감에서 공개된 내부 점검 결과에 따르면 LG유플러스의 계정 권한 관리 시스템에서는 다수의 심각한 취약점이 발견됐다.

의원실이 제시한 내용은 ▲모바일 접속 시 2차 인증 단계에서 숫자 ‘111111’ 입력과 특정 메모리 값을 변조하면 시스템 접근이 가능한 방식 등 총 8개 취약점 ▲인증 절차 없이 관리자 페이지 진입이 가능한 백도어 존재 ▲소스코드에 비밀번호가 암호화되지 않은 평문으로 노출 등이다. 이 의원은 이를 두고 “비밀번호를 금고 밖에 쪽지로 붙여 둔 것과 같다”며 보안 불감증을 강하게 비판했다.

또한 국감에서는 LG유플러스가 제출한 서버 이미지(운영체계 재설치 후 생성한 이미지)의 신뢰성 문제도 제기됐다. 이 의원은 “OS를 재설치하고 이미지를 제출했는데, 재설치 전 상황이 그대로 이미지에 담겼는지 어떻게 보장하느냐”며 수사 당국 및 외부 전문가의 정밀 검증 필요성을 언급했다. 사고 대응 매뉴얼 준수 여부, 내부 근거자료의 위·변조 가능성 등도 쟁점으로 떠올랐다.

이번 사안은 단순 기술적 결함을 넘어 통신사업자의 고객·서비스 관리 신뢰성 문제로 확산될 공산이 크다. 통신사 내부 계정 권한과 관리자 접근이 외부에 노출되면 고객 정보·서비스 연속성에 직결되는 2차 피해로 이어질 수 있어 규제 기관의 조사 및 행정처분 가능성도 배제할 수 없다.

특히 통신사는 정보통신망법·개인정보보호법 등 관련 규정에 따라 사고 신고와 피해확인·공고, 기술적·관리적 보호조치 이행 의무가 있어 향후 KISA 조사 결과에 따라 과태료 부과나 시정명령, 경영진 책임론 등이 제기될 전망이다.

홍 대표는 “혼란을 초래한 점에 대해 유감스럽게 생각하고 있으며, 추가 점검과 외부 신고 등 필요한 조치를 검토하겠다”고 밝혔다. 다만 LG유플러스의 초기 대응 과정에서 “침해 사실을 인지하고도 신고를 주저했다”는 비판이 이어질 경우 신뢰 회복까지 상당한 시간이 걸릴 수 있다.