[IE 산업] LG유플러스 계정권한관리시스템에서 핵심 정보가 유출됐다는 주장과 관련해 LG유플러스 홍범식 대표가 한국인터넷진흥원(KISA)에 신고하겠다고 알렸다.

21일 국회 과학기술정보방송통신위원회 국정감사(국감)에 출석한 홍범식 대표는 "사이버 침해 사실을 확인한 이후에 신고하는 것으로 이해하고 있었다"며 "여러 혼란과 오해가 발생하고 있어 조금 더 신고를 적극 검토할 예정"이라고 말했다.

이 자리에서 조국혁신당 이해민 의원은 LG유플러스 서버의 소스코드·설정파일·데이터베이스가 유출됐다고 주장했다. 이 의원에 따르면 LG유플러스가 자체적으로 계정·권한 관리 시스템을 분석한 결과 모바일로 시스템 접속 시 2차 인증 단계에서 숫자 '111111'을 입력 후 특정 메모리값을 변조하면 시스템에 접근 가능했다.

여기 더해 관리자 페이지에 별도 인증 없이 접근 가능한 백도어, 소스코드 내 평문 노출된 비밀번호·암호화 키를 포함해 약 8건의 결함이 있었다.

프랙보고서에서 유출된 것으로 지목된 자료에는 서버 목록(서버명·IP 등) 8000여 대, 계정 4만여 건, 직원·협력사 167명의 실명·ID 등이 포함된 것으로 전해졌다.

이와 관련해 이 의원은 "LG유플러스가 비밀번호를 암호화하지 않고 소스코드 안에 그대로 노출했다는 것은 금고 바깥에 비밀번호를 써서 쪽지로 붙인 꼴"이라고 지적했다.

이어 KISA에 신고하겠냐는 질문에 홍 대표는 "그렇게 하겠다"고 답했다. 이 같은 홍 대표 응답에 대해 LG유플러스는 현재까지 조사에서는 침해 사실이 발견되지 않았지만, 국민 염려와 오해를 해소하는 차원에서 관련 부처와 협의해 추가 절차를 밟도록 하겠다는 의미라고 설명했다.

현행 정보통신망법에 따르면 정보통신서비스 제공자는 침해 사고를 인지했을 때 24시간 내 KISA에 이를 신고해야 한다. LG유플러스는 최근 해킹이 발생했다는 의혹에도 '고객 정보 유출은 없었다'며 이를 신고하지 않았다.

/이슈에디코 김수경 기자/