외주 보안기업 해킹 신고에 LGU+는 "해킹 정황 없다"

(서울=뉴스1) 김정현 기자 = KT(030200)와 LG유플러스(032640)의 해킹 의혹에서 보안업체 시큐어키가 보관 중인 LG유플러스의 계정정보가 탈취당한 사실이 드러났다.

국회 과학기술방송통신위원회(과방위) 소속 박충권 국민의힘 의원이 한국인터넷진흥원(KISA)에서 제출받은 자료에 따르면 LG유플러스의 외주 보안업체 시큐어키는 지난 7월 31일 KISA에 해킹을 신고했다.

시큐어키는 LG유플러의 외부 보안업체로 LG유플러스의 서버 관리를 맡고 있다.

앞서 미국 '프랙'이 지난달 공개한 자료에 따르면 해커들은 시큐어키를 해킹해 확보한 계정정보로 LG유플러스 내부 네트워크로 침투했다. 프랙은 이들이 LG유플러스의 8938대의 서버 정보와 4만2526개의 계정 및 167명의 직원 정보를 유출했다고 보도했다.

앞서 KISA는 지난 7월에도 해킹 정황을 확인하고 LG유플러스와 KT, 시큐어키 등에 침해사고 신고를 권유했다. KT와 LG유플러스는 '유출 정황이 없다'고 주장하며 이를 받아들이지 않았다. 다만 과기정통부의 권유에 따라 현장 조사를 진행 중이다.

LG유플러스 측은 여전히 해킹 정황이 확인되지 않는다며 정보 유출이 없었다고 주장하고 있다.

LG유플러스 관계자는 "시큐어키를 통해 유출된 아이디, 패스워드로 현재까지 자사 서버에 침투한 흔적이 발견되지 않았기 때문에 침해 신고를 하지 않았다"며 "패스워드가 일방향 암호화로 복호화가 불가능하기 때문"이라고 설명했다.

이어 "진행 중인 과기부 조사에 최대한 협조해 모든 내용을 투명하게 밝힐 수 있도록 할 예정"이라고 덧붙였다.

박 의원은 "이번 사태는 기업이 자진 신고를 회피할 경우 정부와 전문기관이 신속히 대응할 수 없는 제도적 허점을 드러낸 것"이라며 "국민의 재산 피해와 직결된 만큼 철저한 진상 규명으로 책임을 묻고, 재발 방지를 위해 법과 제도를 반드시 정비해야 한다"고 말했다.

한편 개인정보위원회는 지난 10일 LG유플러스와 KT를 대상으로 개인정보 유출 조사에 착수했다. 현행 개인정보보호법은 정보통신망법과 달리 정황만으로도 정부에서 '인지 조사'에 나설 수 있다.

Kris@news1.kr