[서울이코노미뉴스 박희만 기자] LG유플러스가 내부 서버 해킹 피해의혹과 관련해 한국인터넷진흥원(KISA)에 신고하겠다는 입장으로 선회했다.
그동안 “침해 정황은 없다”며 피해 사실을 부인해 온 태도에서 한발 물러선 것이다.
홍범식 LG유플러스 대표는 21일 국회 과학기술정보방송통신위원회 정보통신기술(ICT) 분야 산하기관 국정감사에서 조국혁신당 이해민 의원이 "KISA에 신고하겠느냐"고 묻자 "그렇게 하겠다"고 답했다.
홍범식 대표는 이어 "그동안 사이버 침해 사실이 확인된 이후 신고하는 것으로 이해하고 있었다”며 “혼란과 오해가 발생하고 있어 조금 더 적극적으로 검토하겠다”고 설명했다.
이날 국정감사에서 이해민 의원은 LG유플러스의 보안관리 실태를 강도 높게 비판했다.
그는 “비밀번호를 암호화하지 않고 소스코드에 그대로 노출한 것은 금고 비밀번호를 바깥에 쪽지로 붙여둔 것과 다를 바 없다”며 “기술적 문제 이전에 조직 전반의 보안인식이 심각하다”고 지적했다.
이 의원에 따르면 LG유플러스가 자체 분석한 계정 권한관리시스템(APPM)에서는 모바일 접속시 2차 인증단계에서 숫자 ‘111111’을 입력하고 특정 메모리 값을 변조하면 접근이 가능한 취약점 등 총 8건의 보안 결함이 확인됐다.
또한 웹페이지 내에서는 별도의 인증 절차없이 관리자 페이지에 접근할 수 있는 ‘백도어’(Backdoor)가 존재했고, 소스코드에는 관리자용 비밀번호와 계정관리용 비밀번호가 암호화되지 않은 평문상태로 노출돼 있었던 것으로 드러났다.
이해민 의원은 “LG유플러스가 서버 운영체제(OS)를 재설치한 뒤 이미지를 제출했는데, 재설치 이전 상태가 그대로 반영됐는지를 검증할 방법이 없다”며 “이 과정이 보안사고 대응 매뉴얼에 따라 진행됐는지 반드시 조사해야 한다”고 강조했다.