LG유플러스가 외부 침해 사실을 인정하지 않다가 정부 기관에 피해 사실을 신고하겠다는 입장으로 선회했다.



홍범식 LG유플러스 대표는 21일 국회 과학기술정보방송통신위원회 산하 ICT 분야 국정감사에서 이해민 의원의 질의에 “한국인터넷진흥원(KISA)에 신고하겠다”고 답했다. 홍 대표는 그간 “사이버 침해를 확인한 이후 신고하는 것으로 이해하고 있었다”며 “여러 혼란과 오해가 발생해 조금 더 적극적으로 검토하겠다”고 덧붙였다.



이 의원은 LG유플러스 자체 분석 결과를 근거로 회사의 보안 관리에 심각한 허점이 드러났다고 지적했다. 조사에서 모바일 접속 시 2차 인증 단계에 ‘111111’ 입력과 특정 메모리 값 변조만으로 시스템 접근이 가능한 등 모두 8건의 보안 취약점이 확인됐다고 전했다. 또한 웹페이지에 별도 인증 없이 관리자 페이지에 접근할 수 있는 백도어가 존재했고, 소스코드에는 백도어 접근용 3자리 비밀번호와 계정 관리용 비밀번호가 암호화되지 않은 평문 형태로 노출돼 있었다고 설명했다.



홍 대표는 회사가 서버 운영체제(OS)를 재설치한 뒤 해당 이미지 파일을 제출했지만 재설치 전 상태가 그대로 담겼는지 보장할 수 없다는 점을 문제로 꼽았다. 그는 “이 과정에서 보안사고 매뉴얼대로 조치했는지에 대한 조사가 반드시 필요하다”고 강조했다.



국감에서는 LG유플러스의 초기 대응과 내부 보안 통제 체계, 사고 대응 매뉴얼 이행 여부를 둘러싼 질의가 이어졌다. 해당 사안에 대해 회사 측은 추가 점검과 함께 관계 기관과의 협의를 통해 후속 조치를 진행하겠다고 밝혔다.

