[FETV=신동현 기자] SK텔레콤·KT가 해킹 사건으로 홍역을 치루는 동안 상대적으로 여유를 보이던 LG유플러스에게도 해킹의 그림자가 드리웠다. LG유플러스는 지난 21일 국회에서 열린 과학기술정보방송통신위원회 국정감사서 4만여건의 계정이 해킹되는 와중에 보안 체제 관리 측면에서의 문제점을 지적받았다. 이전까지 해킹을 부인하던 LG유플러스는 국감 자리서 조사에 협조하겠다는 입장으로 선회했다.

◇4월부터 제기된 해킹 정황…‘김수키’ 침입에 서버 재설치·폐기 의혹까지

이번 사건의 발단은 지난 4월로 거슬러 올라간다. 당시 미국 해커 ‘세이버(Saber)’가 북한 해커조직 ‘김수키(Kimsuky)’의 내부 데이터에서 LG유플러스 관련 서버 약 8938대, 계정 4만2526개, 임직원 실명 167건이 포함된 정보를 포착했다. 해당 자료에는 서버 자산 목록과 운영계정 접근 로그, 내부망 자산의 IP 리스트 등이 담겼고 이후 해킹 전문매체 ‘Phrack’의 72호를 통해 공개되면서 LG유플러스 내부망 침입 정황이 공식화됐다.

7월에는 화이트해커가 KT와 LG유플러스의 침해 흔적을 국정원에 제보했고 LG유플러스 협력사 ‘시큐어키’가 7월 31일 한국인터넷진흥원(KISA)에 해킹 피해를 자진 신고했다. 그러나 회사는 8월 13일 과기정통부에 “침해 흔적이 없다”고 보고했으며 이후 내부 서버 운영체제가 재설치된 사실이 드러나면서 “증거 인멸 의혹”이 불거졌다.

이어 LG유플러스가 폐기한 것으로 알려진 APPM(계정권한관리시스템) 서버에서 ‘111111’ 인증코드 취약점과 관리자 백도어 비밀번호 등 평문 상태의 소스코드가 발견됐다. 이해민 조국혁신당 의원이 제출한 자료에 따르면 우선 ‘111111’ 등 특정 인증번호 입력만으로 2차 인증을 우회할 수 있는 구조가 존재해 정상적인 인증 절차를 밟지 않고도 계정 접근이 가능한 상태였다.

또한 관리자 페이지에 별도의 백도어가 포함돼 있어 추가 인증 없이 관리자 권한으로 진입할 수 있는 경로가 포착됐다. 이와 함께 소스코드 곳곳에 비밀번호와 암호화 키가 평문(암호화되지 않은 상태)으로 남아 있어 내부 정보가 그대로 노출될 위험이 컸던 것으로 분석됐다. 마지막으로 메모리 값 조작만으로도 관리자 권한을 획득할 수 있는 취약점이 확인돼 외부 침입자가 시스템 동작 과정에서 값만 변조해 권한을 상승시킬 수 있는 기술적 결함도 발견됐다는 것이다.

국감에 참석한 홍범식 LG유플러스 대표는 이해민 의원이 한국인터넷진흥원(KISA)에 신고하겠느냐고 묻자 "그렇게 하겠다"고 답하며 "사이버 침해 사실을 확인한 이후에 신고하는 것으로 이해하고 있었는데 여러 혼란과 오해가 발생하고 있어 조금 더 적극적으로 검토할 예정"이라고 밝혔다.

◇2023년 이후 보안투자 확대 불구 또다시 불거진 관리 문제

LG유플러스 2023년 약 30만명의 인적사항과 유심 고유번호 등 개인정보가 유출되는 해킹 사고를 겪었다. 정부는 침입차단시스템과 이상행위 탐지 기능 미비, 고객인증시스템 관리 소홀 등을 이유로 68억원의 과징금과 2700만원의 과태료를 부과했다.

LG유플러스는 사고 직후 정보보호백서를 발간하며 정보보호체계 개편을 예고했다. 정보보안 및 개인정보보호 분야에서 10년 이상 경력을 쌓은 홍관희 전무를 CISO(정보보호최고책임자)로 선임하고 정보보안센터를 CEO 직속으로 격상했다. 조직도 기존 3개 팀에서 11개 팀으로 확대했다. 인력은 2022년 117명에서 2023년 157명, 2024년에는 292명으로 늘었고 정보보호 투자 규모도 2022년 이후 꾸준히 증가해 2023년 632억원에서 2024년에는 829억원으로 확대됐다.

그 외에도 인공지능(AI) 기술을 활용해 해킹 징후나 이상 행동을 하는 컴퓨터를 실시간으로 찾아내고 빠르게 차단할 수 있도록 EDR(엔드포인트 탐지 및 대응) 기술을 도입했다. 보안 문제가 발생했을 때 사람이 일일이 조치하지 않아도 자동으로 경고를 보내고 대응하는 시스템인 'SOAR(보안 자동화 대응 체계)'도 적용했다.