[2025국감]홍범식 LG U+ 대표 "KISA에 해킹 정황 신고할 것"

이해민 "기술적 문제 이전에 보안 불감증"

정보 유출에도 해킹 사실을 인정하지 않던 LG유플러스가 관련 당국에 해킹 정황을 신고하겠다고 입장을 바꿨다.

홍범식 LG유플러스 대표는 21일 국회 과학기술정보방송통신위원회의 국정감사에서 한국인터넷진흥원(KISA)에 신고하겠냐는 이해민 조국혁신당 의원 질의에 "그렇게 하겠다"고 답했다.

홍범식 LG유플러스 사장. LG유플러스 제공

이날 증인으로 출석한 홍 대표는 "사이버 침해 사실을 확인한 이후에 신고하는 것으로 이해하고 있었는데, 여러 혼란과 오해가 발생하고 있어 조금 더 적극적으로 검토하겠다"고 설명했다.

이 의원은 "LG유플러스가 비밀번호를 암호화하지 않고 소스코드 안에 그대로 노출했다는 것은 금고 바깥에 비밀번호를 써서 쪽지로 붙여 놓은 꼴"이라며 "방어막은 커녕 해커들을 위한 레드카펫을 깔아둔 셈"이라고 비판했다. 이어 "기술적인 문제 이전에 심각한 보안 불감증이다. 내가 보안 컨설팅을 해주는 기분"이라고 꼬집었다.

이 의원에 따르면 LG유플러스가 자체적으로 계정 권한 관리 시스템을 분석한 결과, 모바일로 시스템에 접속 시 2차 인증 단계에서 숫자 '111111'을 입력하고 특정 메모리값을 변조하면 시스템에 접근할 수 있는 등 모두 8개의 보안 취약점이 드러났다.

웹페이지에는 별도 인증 없이 관리자 페이지에 접근할 수 있는 백도어가 있었고 소스코드에는 백도어에 접속할 수 있는 비밀번호 3자리, 계정 관리에 필요한 비밀번호가 암호화되지 않은 평문으로 노출돼 있었다.

LG유플러스는 전날 서버 계정 권한 관리 시스템(APPM)이 사이버 침해를 당한 것으로 지목되자 서버 운영체제(OS) 업데이트를 실시해 관련 흔적을 지우려 했다는 의혹이 제기됐다.

국회 과방위원장인 최민희 더불어민주당 의원에 따르면 지난 7월 익명의 화이트해커가 KT와 LG유플러스에서 서버 해킹이 있었다는 제보를 전달한 직후 한국인터넷진흥원(KISA)은 두 회사에 내용을 통보하고 자체 점검을 요구했다. 해당 내용은 미국의 해킹 전문지 '프랙(Phrack)'에도 공개됐다.

이어 한 달 뒤 과학기술정보통신부가 LG유플러스에 자체 조사 결과를 제출하라고 요구했고, 다음 날 LG유플러스는 APPM 관련 서버의 OS를 업데이트했다.

이명환 기자 lifehwan@asiae.co.kr