LGU+·KT vs 협력사 시큐어키…정보 침해 사실 진실공방

LG유플러스와 KT가 해킹 정황에 대해 ‘침해 사실이 없다’고 일관하는 가운데, LG유플러스 서버의 접근 제어 솔루션을 맡고 있는 협력 보안업체인 시큐어키가 한국인터넷진흥원(KISA)에 해킹 침해 사고를 신고하고 기술지원을 받은 사실이 15일 확인됐다. / 사진 뤼튼에서 생성

(콕스뉴스 이진 기자) LG유플러스와 KT가 해킹 정황에 대해 ‘침해 사실이 없다’고 일관하는 가운데, LG유플러스 서버의 접근 제어 솔루션을 맡고 있는 협력 보안업체인 시큐어키가 한국인터넷진흥원(KISA)에 해킹 침해 사고를 신고하고 기술지원을 받은 사실이 15일 확인됐다.

박충권 국회 과학기술정보방송통신위원회 의원실(국민의힘)이 KISA에서 받은 자료에 따르면, 시큐어키는 7월 31일 시스템 해킹을 신고했다. KISA는 다음 날인 8월 1일 기술지원을 시행했다.

시큐어키는 LG유플러스 서버 관리 업무를 담당하는 회사로, 해킹 공격을 당한 것으로 알려졌다.

미국 해킹 전문지 ‘프랙’이 8월 공개한 보고서에 따르면, 해커는 시큐어키 계정 정보를 탈취해 LG유플러스 내부 네트워크에 침투했고, 8938대 서버 정보와 4만2526개의 계정, 167명의 직원 정보를 유출한 정황이 드러났다.

하지만 LG유플러스 측은 자체 분석 결과 외부 침입 흔적이 없다고 주장하며 해킹 사실을 부인하고 있다.

KISA는 7월 19일 화이트해커가 침해 정황을 제보하자 LG유플러스와 KT, 그리고 시큐어키에 침해사고 신고를 권고했다. 그러나 시큐어키만이 이를 따랐고, LG유플러스와 KT는 모두 신고하지 않았다.

KISA는 8월 22일 LG유플러스와 KT에 유출 추정 데이터가 실제임을 증명하는 증거를 제시하며 재차 신고를 요청했으나, 두 통신사는 이를 거부하며 조사에 비협조적인 태도를 보였다.

이번 사태를 계기로 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’의 전면 개정 필요성이 제기되고 있다. 현행법은 기업의 자진 신고 없이는 정부 기관이 조사에 나서기 어려워 신속 대응에 한계가 있기 때문이다.

개인정보보호위원회는 10일 LG유플러스와 KT를 대상으로 개인정보 유출 조사를 시작했으며, 이는 기업 신고가 아닌 시민단체 민원과 피해자 신고를 통해 추진된 것으로 알려졌다.

박충권 의원은 “기업이 침해 사실을 숨길 경우 정부와 전문기관의 신속한 대응이 막히는 법의 허점이 드러났다”며 “국민의 재산 피해를 막기 위해 진상 규명과 함께 관련 법과 제도의 전면 정비가 시급하다”고 말했다.