LG유플러스 홍범식 대표 "(KISA에 해킹 사실) 신고하겠다"

LG유플러스, 계정관리 시스템서 치명적 보안 취약점 다수 발견
소스코드·개인정보 유출 정황…증거 인멸 의혹까지 제기

LG유플러스가 운용하던 계정권한관리시스템(APPM) 솔루션에서 다수의 치명적인 보안 취약점이 확인되었다는 자료가 국회에서 공개되었다.

21일 조국혁신당 이해민 의원(국회 과학기술정보방송통신위원회)이 LG유플러스로부터 제출받은 자료에 따르면, 해당 시스템의 소스코드, 설정 파일, 데이터베이스가 유출된 정황이 있고, 이후 일부 서버가 재설치 및 폐기된 정황이 포착되어 증거 보전 및 은폐 의혹까지 제기되고 있다.

이 의원실이 확보한 취약점 목록에 따르면, 해당 시스템은 모바일 접속 시 2차 인증 단계에서 특정 숫자 입력과 메모리 값 변조만으로 접근이 가능한 취약점, 관리자 페이지에 별도 인증 없이 접근 가능한 백도어, 소스코드 내 평문으로 노출된 비밀번호 및 암호화 키 등 총 8건의 중대한 결함을 안고 있었다.

의원실은 이 중 단 하나의 취약점만으로도 원격 권한 탈취 및 내부망 침투가 가능한 수준이라고 보고 있다. 당초 프랙보고서에서 유출된 것으로 지목된 자료에는 서버 목록(서버명, IP 등) 약 8000여 대, 계정 약 4만여 건, 직원 및 협력사 167명의 실명 및 ID 등이 포함된 것으로 알려졌다.

이 자료는 시큐어키가 제작한 계정권한관리시스템 관련 파일에서 확인된 것으로, 시큐어키는 자체적으로 한국인터넷진흥원(KISA) 등 관계기관에 유출 사실을 신고했으나, LG유플러스는 "침해 정황 없음"이라며 정식 신고를 하지 않은 상태였다.

문제는 조사 및 대응 과정에서 불거졌다. 시큐어키는 7월 말 KISA에 침해 사고를 신고하고 포렌식용 이미징을 제출한 것으로 알려졌지만 LG유플러스가 일부 서버를 재설치 및 폐기한 정황이 확인되면서 최초 상태의 보전 여부와 포렌식 무결성에 큰 의문이 제기되고 있다.

시스템 재설치로 인해 포렌식 증거가 훼손되었을 가능성에 대해 의원실은 수사 의뢰 수준의 정밀 조사를 요구하고 있다.

이해민 의원은 "8가지 취약점 중 단 하나만 존재해도 치명적인데, 이 정도면 해커를 위한 레드카펫을 깔아둔 수준"이라며 "기술적 문제를 넘어선 심각한 보안 불감증이며, 동일 솔루션을 사용하는 다수 기업으로 피해가 확산될 우려가 크다. 과학기술정보통신부와 KISA는 민관합동조사단 수준의 전수조사에 즉시 착수해야 한다"고 촉구했다.

한편, 이 의원은 21일 진행된 국정감사에서 증인으로 출석한 LG유플러스 홍범식 대표에게 KISA에 해킹 사실을 신고하고 철저한 조사를 받을 것인지에 대해 질의했으며, 홍 대표는 "신고하겠다"고 답변했다.

LG유플러스는 "현재까지의 조사에서는 침해 사실이 발견되지 않았지만, 국민적 염려와 오해를 해소하는 차원에서 국회와 과기부의 절차에 따라 적극적으로 대응하겠다"며 "국정감사 이후 관련 부처와 협의해 추가 절차를 밟겠다"고 입장을 밝혔다.