LG유플러스와 KT가 해킹 정황에 대해 '침해 사실이 없다'는 입장을 고수하는 가운데 LG유플러스 서버 접근 제어 솔루션을 담당하는 협력 보안기업은 한국인터넷진흥원(KISA)에 침해 사고를 신고해 기술지원(조사)을 받은 것으로 확인됐다.
14일 국회 과학기술정보방송통신위원회 소속 박충권 국민의힘 의원실이 KISA로부터 제출받은 자료에 따르면, LG유플러스 외주 보안기업인 시큐어키는 지난 7월 31일 KISA에 시스템 해킹을 신고했으며 KISA는 다음날인 8월 1일 기술지원을 실시했다.
시큐어키는 LG유플러스 서버 관리 회사로, 이번 해킹 공격을 받은 것으로 알려졌다. 미국 해킹 전문지 '프랙'이 지난달 8일 공개한 자료를 살펴보면, 해커가 시큐어키를 해킹해 확보한 계정정보로 LG유플러스 내부 네트워크로 침투해, 8938대의 서버 정보와 4만2526개의 계정 및 167명의 직원 정보가 유출했다. LG유플러스 측은 “자체 분석 결과 서버에 외부 침입 흔적이 없다”는 입장을 고수하고 있다.
협력사인 시큐어키의 자진 신고는 이와 비교된다. KISA는 지난 7월 19일 화이트해커로부터 해킹 침해 정황을 제보받고 LG유플러스, KT와 함께 시큐어키에도 신고해 조사를 받을 것을 요청했다. 이 가운데 시큐어키만이 KISA 요청에 응한 것이다. 더욱이 KISA가 지난달 22일 LG유플러스와 KT에 유출된 데이터가 실제 데이터와 동일하다는 증거를 제시하며 재차 신고를 요청했으나 이 역시 외면했다.
'정보통신망 이용촉진 및 정보보호 등에 관한 법률' 개정이 필요하다는 목소리가 나오는 것도 이 때문이다. 현행법은 기업이 자진신고를 해야만 조사에 나설 수 있다. 개인정보보호법에 따라 이른바 '인지 조사'를 할 수 있는 개인정보보호위원회와도 조사 권한의 차이가 크다.
실제 개인정보위는 지난 10일 LG유플러스와 KT를 대상으로 개인정보 유출 조사에 착수했다. 개인정보보호법은 법위반 혐의를 알게 되거나 사건·사고가 발생할 가능성이 상당히 있는 경우에도 조사에 착수할 수 있도록 열어두고 있다. 개인정보위는 기업의 개인정보 유출 신고는 없었으나 시민단체 민원과 소액결제 피해자의 침해신고가 있었다고 조사 배경을 밝힌 바 있다.
박충권 의원은 “이번 사태는 기업이 자진 신고를 회피할 경우 정부와 전문기관이 신속히 대응할 수 없는 제도적 허점을 드러낸 것”이라며 “국민의 재산 피해와 직결된 만큼 철저한 진상 규명으로 책임을 묻고, 재발 방지를 위해 법과 제도를 반드시 정비해야 한다”고 말했다.
조재학 기자 2jh@etnews.com
