LG유플러스 홍범식 “서버・소스코드 등 유출 정황, KISA에 신고할 것”

[한국금융신문 정채윤 기자] 홍범식 LG유플러스 대표가 해킹 피해를 인정하지 않으면서도 당국에 해킹 정황을 신고하겠다는 이중적 입장을 내놨다.
21일 국회 과학기술정보방송통신위원회는 통신3사 최고경영자(CEO)를 국정감사 증인으로 줄소환했다.

이 자리에서 홍범식 대표는 이해민 조국혁신당 의원이 “해킹 정황이 있었는데도 왜 신고하지 않았냐”며 한국인터넷진흥원(KISA)에 신고하겠느냐고 묻자 “그렇게 하겠다”고 답했다.
이어 “사이버 침해 사실을 확인한 이후에 신고하는 것으로 이해하고 있었는데 여러 혼란과 오해가 발생하고 있어 조금 더 적극적으로 검토할 예정”이라고 설명했다.

이 의원은 “LG유플러스가 비밀번호를 암호화하지 않고 소스코드 안에 그대로 노출한 것은 금고 바깥에 비밀번호를 적어 쪽지로 붙여놓은 꼴”이라며 “기술적 문제 이전에 심각한 보안 불감증”이라고 지적했다.

앞서 미국 보안 전문지 ‘프랙’은 LG유플러스의 내부 서버 관리용 계정권한관리시스템(APPM) 소스코드와 데이터베이스, 서버 정보 등이 외부로 유출됐다고 의혹을 제기한 바 있다.

이 의원에 따르면 LG유플러스가 운용하던 APPM에서 다수의 중대 취약점이 확인됐다. 모바일로 시스템에 접속 시 2차 인증 단계에서 숫자 ‘111111’을 입력하고 메모리 값을 변조하면 시스템에 접근할 수 있는 등 총 8개의 보안 취약점이 드러난 것이다. 단일 취약점만으로도 원격 권한탈취·내부망 침투가 가능하다는 게 이 의원 설명이다.

홍범식 대표는 지속된 해킹 의혹에 KISA에 자진신고할 것을 약속했지만, 정보 유출과 침해를 구분하는 입장은 고수했다. 정보 유출은 인정하면서도 침해는 아니라는 입장이다.
박정훈 국민의힘 의원은 “현재 보고되고 있는 LG유플러스의 계정권한관리시스템(APPM) 서버 정보 8938대, 계정 4만2526개, 직원 167명 정보 유출 의혹이 사실이 아니냐”고 질의했다.

홍범식 대표는 “APPM이라는 계정 접근 서버에서 유출된 정보가 저희 정보인 것은 확인했다”면서도 “다만 그것이 침해가 있었다는 것은 확인되지 않았고, 과학기술정보방송통신위원회와 KISA로부터 계속 조사를 받고 있다”고 답했다.

이어 “아직까지는 고객 정보 등 민감 정보가 있는 서버는 없는 것으로 파악하고 있는데, 혹시라도 민감 정보가 있다 하더라도 암호화돼있다고 보고받았다”고 강조했다.

또한 홍범식 대표는 “LG유플러스는 해킹으로부터 안전하다고 고객에게 확실하게 말할 수 있는지”를 묻는 박충권 국민의힘 의원 질의에는 “최선의 노력은 하고 있지만 100% 안전하다고 자신 있게 말씀드리기 어렵다”고 말했다.

이어 최근 제기된 해킹 의혹과 관련해 보고를 받고도 신고하지 않은 이유를 묻자 “침해와 유출을 분리해서 생각한다”면서 “침해 사고가 확인되기 전까지는 침해가 아니라고 이해하는 것이 맞다고 생각한다”고 모호한 답변을 내놨다.

한편 통신 3사 해킹 대란을 가장 먼저 겪은 SK텔레콤에 대한 질의도 오갔다.

이훈기 더불어민주당 의원은 “지난 청문회 때 SK텔레콤 번호이동 위약금을 면제하면 7조원 손실이 예상된다고 했으나, 실제 70만명 1인당 10만원씩 700억원이었다”면서 “피해를 100배 부풀려서 국회에서 위증을 하고 국회를 능멸했다”고 비판했다.

이에 유영상닫기유영상기사 모아보기 SK텔레콤 대표는 “혼선을 드려서 죄송하다”며 고개 숙여 사과했다.

이어 이 의원은 “위약금 면제에 대해 방통위 분쟁조정위에서 기한을 연말까지 연장할 것을 권고했으나 (SK텔레콤은) 수용하지 않고 있다”며 “SK텔레콤은 과징금 1347억원을 행정소송 하겠다고 하는 등 정부 조치를 이행하지 않고 또다시 대국민 선전포고를 하고 있다”고 꾸짖었다.

정채윤 한국금융신문 기자 chaeyun@fntimes.com