‘해킹 은폐’ 의혹 LG유플, 경찰청 수사 전환

[한국금융신문 정채윤 기자] LG유플러스가 공무집행방해 혐의로 경찰청 국가수사본부에 넘겨졌다. 지난 7월 한국인터넷진흥원(KISA)으로부터 침해사고 경고를 받고도 증거가 될 만한 서버를 폐기하고 운영체제(OS)를 재설치하는 등 조사를 방해한 흔적이 드러나면서다. 단순 보안 사고를 넘어 증거 인멸 논란으로 번지며 통신망 신뢰를 뒤흔드는 후폭풍이 예상된다.

LG유플러스침해사고를 조사한 과학기술정보통신부 민관합동조사단은 정부서울청사에서 “LG유플러스의 행위를 부적절한 조치로 판단했다”고 밝혔다.

조사단은 “익명의 제보자가 미국 보안 전문 매체 프랙(The Phrax)을 통해 밝힌 LG유플러스 침해 정황과 관련해 관련 서버를 정밀 분석하려 했으나, OS 재설치 또는 서버 폐기로 원활한 조사가 불가능했다”고 설명했다.
화이트해커인 익명의 제보자는 앞서 프랙에 “LG유플러스에 ‘계정 권한 관리 시스템(APPM)’을 납품한 협력사가 해킹당했고, 그 경로를 통해 LG유플러스 내부망이 뚫렸다”고 제보했다.

APPM은 시스템 계정 비밀번호를 주기적으로 일괄 변경·관리하고, 사용자에게 자동으로 비밀번호를 발급하는 통합 비밀번호 관리 체계를 뜻한다.

즉, 협력사 직원 노트북에서 LG유플러스의 APPM 서버로 이어지는 해당 네트워크 구간의 주요 서버들이 모두 OS가 재설치되거나 폐기돼 정부 조사단이 해킹 경로를 규명하지 못했다는 설명이다.

앞서 지난 7월 18일 KISA는 익명의 제보자로부터 “LG유플러스에서 내부 정보가 유출됐다”는 제보를 받았고, 이튿날 LG유플러스에 관련 내용을 공유하며 “침해사고(해킹 등)로 보이니 신고하라”고 안내했다.

즉, 이미 여름부터 유출 징후가 있었다는 것이다. 제보는 LG유플러스의 APPM 서버 정보와 계정 정보, 임직원 정보 등이 포함된 것으로 알려졌다.

8월에는 해외 보도를 통해 약 4만2000여개 계정과 8900여대 서버 관련 정보 탈취 정황이 드러났다. 이에 대해 LG유플러스는 자체 점검 결과를 근거로 “침해사고는 없다”며 “유출은 있었지만 해킹 흔적은 없다”는 입장을 유지했다.

과기정통부와 KISA는 8월 25일부터 1차 현장조사를 진행했고, LG유플러스는 국정감사 등에서 유출과 관련한 지적이 지속되자 10월 23일에서야 KISA에 침해사고를 공식 신고했다. 조사단은 신고가 접수된 바로 다음 날인 10월 24일부터 구성·운영됐다.

이번 조사단의 조사 결과 익명의 제보자가 유출됐다고 주장한 LG유플러스의 APPM과 연결된 서버 목록과 계정 정보, 임직원 성명 등은 실제 유출된 것으로 확인됐다.

조사단은 LG유플러스에서 제출받은 APPM 서버에 대해 정밀 포렌식 분석을 진행한 결과, 제보자가 공개한 LG유플러스 자료와 차이가 있다는 점도 확인했다. 이로 인해 LG유플러스가 제출한 자료의 신뢰성을 둘러싼 의문도 제기되는 상황이다.
또 KISA가 침해사고 정황을 안내한 7월 19일 이후 APPM 서버의 운영체제 업그레이드와 서버 폐기 등의 작업이 이뤄져, 침해사고 흔적을 확인할 수 없었다는 것이 조사단 설명이다.

이에 과기정통부와 KISA는 LG유플러스가 침해사고 정황을 통보받은 시점 이후 서버를 삭제하거나 복구한 점에 주목해 ‘위계에 의한 공무집행방해’ 혐의가 있다고 보고 이달 9일 경찰청 국가수사본부에 수사를 의뢰했다.

LG유플러스가 서버를 고의로 폐기했는지와 은폐 의도가 있었는지가 향후 수사에서 핵심 쟁점이 될 전망이다.

과기정통부는 “LG유플러스의 관련 서버 OS 재설치 및 폐기 행위가 침해사고 정황 등을 안내한 7월 19일 이후에 이뤄진 점을 고려할 때 이를 부적절한 조치라고 판단했다”며 “LG유플러스가 벌인 서버 재설치·폐기 작업으로 인해 침해사고 흔적을 확인할 수 없는 조사 불가 상황에 놓인 만큼 경찰 수사를 통해 사실관계를 규명할 것”이라고 말했다.

이에 대해 LG유플러스 측은 “경찰 수사에 성실히 임하겠다”는 입장을 전했다.

정채윤 한국금융신문 기자 chaeyun@fntimes.com