KISA, 신고 접수 후 기술지원 나서

美 해킹전문지 “8938대 서버·4만여 계정 유출”

LG유플러스와 해킹 침해 사실을 전면 부인하는 상황에서, LG유플러스 서버 관리와 접근 제어 솔루션을 맡은 협력 보안기업 시큐어키는 한국인터넷진흥원(KISA)에 직접 해킹 피해를 신고하고 기술지원을 받은 사실이 드러났다.

15일 국회 과학기술정보방송통신위원회 소속 박충권 국민의힘 의원실이 KISA로부터 제출받은 자료에 따르면, 시큐어키는 지난 7월 31일 KISA에 시스템 해킹 사실을 신고했고 KISA는 바로 다음 날인 8월 1일 기술지원을 실시했다.

시큐어키는 LG유플러스 서버 접근 제어 솔루션을 담당하는 협력사다. 앞서 미국 해킹 전문지 ‘프랙(Frack)’은 해커가 시큐어키를 해킹해 확보한 계정정보로 LG유플러스 내부망에 침투, 총 8938대 서버 정보와 4만2526개의 계정, 167명의 직원 정보 등을 탈취했다고 보도한 바 있다. 그러나 LG유플러스는 “자체 분석 결과 외부 침입 흔적이 없다”며 해킹 가능성을 거듭 부인하고 있다.

KISA는 이미 지난 7월 19일 화이트해커로부터 침해 정황 제보를 접수한 뒤 LG유플러스와 KT, 시큐어키에 각각 신고·조사 참여를 요청했다. 하지만 세 곳 중 실제 신고에 응한 곳은 시큐어키뿐이었다. 이어 지난달 22일에는 유출 데이터가 실제와 동일하다는 증거를 제시하며 LG유플러스와 KT에 재차 신고를 요청했으나, 두 회사는 여전히 입장을 바꾸지 않았다.

이에 따라 개인정보보호위원회가 나섰다. 개인정보위는 기업의 자진 신고가 없었음에도, 시민단체 민원과 소액결제 피해자 신고를 근거로 지난 10일 LG유플러스와 KT를 대상으로 개인정보 유출 조사에 착수했다. 개인정보보호법은 법 위반 혐의를 알게 된 경우나 사고 발생 가능성이 상당히 있는 경우에도 조사할 수 있도록 해, 자진신고 없이는 착수할 수 없는 정보통신망법과 차이를 보인다.





박충권 의원.

박충권 의원은 “이번 사태는 기업이 자진 신고를 회피할 경우 정부와 전문기관이 신속하게 대응할 수 없다는 제도적 허점을 드러낸 것”이라며 “국민의 재산 피해와 직결된 만큼 철저히 진상을 규명하고, 재발 방지를 위해 법과 제도를 정비해야 한다”고 강조했다.





박유진 기자 genie@asiae.co.kr

