LG유플러스가 해킹 침해 사실을 부인하고 있는 가운데, 서버 접근 제어를 맡은 협력사 시큐어키가 한국인터넷진흥원(KISA)에 해킹을 자진 신고했다는 주장이 제기됐다. 본사와 협력사 간 입장이 엇갈리면서 논란이 발생할 수 있을 것으로 보인다.
15일 박충권 국회 과학기술정보방송통신위원회 소속 의원(국민의힘)은 KISA로부터 제출받은 자료를 근거로 LG유플러스 외주 보안기업 시큐어키가 7월 31일 KISA에 시스템 해킹을 신고했고 KISA는 다음날인 8월 1일 기술지원을 실시했다고 주장했다.
시큐어키는 LG유플러스 서버 관리 업무를 담당하는 회사다. 이번 해킹 공격을 직접 받은 것으로 전해진다. 미국 해킹 전문지 ‘프랙(Phrack)’이 8월 8일 공개한 자료에 따르면 해커는 시큐어키를 해킹해 확보한 계정 정보로 LG유플러스 내부 네트워크에 침투했다. 이 과정에서 서버 8938대 정보와 4만2526개의 계정, 167명의 직원 정보가 유출됐다.
협력사인 시큐어키의 자진 신고는 LG유플러스와 대비된다. LG유플러스는 “자체 분석 결과 서버에 외부 침입 흔적이 없다”는 입장을 고수하고 있다.
KISA는 7월 19일 화이트해커로부터 해킹 침해 정황을 제보받고 LG유플러스와 KT, 시큐어키에 모두 신고와 조사를 요청했다. 이 가운데 시큐어키만 KISA 요청에 응했다. 더욱이 KISA가 8월 22일 LG유플러스와 KT에 유출된 데이터가 실제 데이터와 동일하다는 증거를 제시하며 재차 신고를 요청했지만, 두 회사 모두 이를 거부했다.
이 때문에 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 개정 필요성이 제기된다. 현행법은 기업이 자진 신고를 해야만 조사가 가능하다. 반면 개인정보보호법을 근거로 ‘인지 조사’를 할 수 있는 개인정보보호위원회와는 권한 차이가 크다.
실제로 개인정보위는 9월 10일 LG유플러스와 KT를 대상으로 개인정보 유출 조사에 착수했다. 개인정보보호법은 법 위반 혐의를 알게 되거나 사건·사고 발생 가능성이 상당한 경우에도 조사를 진행할 수 있도록 규정하고 있다. 개인정보위는 기업의 신고는 없었지만, 시민단체 민원과 소액결제 피해자의 침해 신고가 있었다는 점을 조사 배경으로 밝혔다.
박충권 의원은 “이번 사태는 기업이 자진 신고를 회피할 경우 정부와 전문기관이 신속히 대응할 수 없는 제도적 허점을 드러낸 것이다”라며 “국민의 재산 피해와 직결된 만큼 철저한 진상 규명으로 책임을 묻고 재발 방지를 위해 법과 제도를 반드시 정비해야 한다”고 말했다.
김광연 기자
fun3503@chosunbiz.com