“서버 포렌식 증거 논란”…LG유플러스, 해킹 의심 서버 이미지 제출로 방어

LG유플러스가 해킹 의혹을 받은 서버의 운영체제(OS) 재설치 전후로 데이터 복사본을 마련해 한국인터넷진흥원(KISA)에 제출한 것으로 알려졌다. 사이버 침해 흔적이 서버에서 사라질 가능성이 제기된 상황에서, 사전 증거 보전 조치를 취했다는 입장이다. 업계는 이번 조치가 침해사고 공정 분석과 기업 투명 경영의 분수령이 될 것으로 보고 있다.

이번 사안은 지난 7월18일 국회 과학기술정보방송통신위원회 최민희 의원실이 과학기술정보통신부(과기정통부)로부터 LG유플러스 서버 해킹 제보를 받은 것으로 시작됐다. 외부에선 '계정 권한 관리 시스템(APPM)' 관련 4만여 건의 계정 정보 유출 가능성이 제기됐고, 미국 보안 매체에서도 공론화됐다. 과기정통부는 제보 하루 뒤 LG유플러스에 사실을 전달했으며, LG유플러스는 내부 점검 후 8월13일 “침해 흔적이 없다”고 공식 통보했다.

그러나 LG유플러스가 당초 의혹이 지목된 APPM 서버의 운영체제를 해킹 의혹 보고 하루 전 재설치한 정황이 드러나면서, 해당 증거 보전 및 포렌식 가능성을 둘러싼 논란이 커졌다. 서버 운영체제를 재설치하게 되면 기존 데이터와 로그가 덮여 삭제되므로, 사후 정밀 포렌식이 어렵거나 불가능해진다. APPM 서버는 기업 내 약 8900여 대 서버를 통합 인증·권한관리하는 핵심 시스템이라는 점에서, 정보 보안의 핵심 인프라로 간주된다.

LG유플러스 측은 “서버 업데이트 전후로 시스템 이미지를 각각 확보해 KISA에 제출했다”며 “조사기관의 분석 절차에 성실히 임할 것”이라고 밝혔다. 기업 내부의 증거 은닉 가능성 지적에 대해, 데이터 보존 및 투명성 의무 준수 근거를 명확히 강조한 셈이다.

글로벌 기준에서 사이버 침해 사고의 현장 보존과 증거물 제출은 공정성·신뢰성 확보의 판단 잣대가 되고 있다. 미국, 유럽 등은 사고 발생 즉시 서버 이미지 확보·로그 기록 보관 등 객관적 증거 보전을 의무화하고 있다. 반면 국내에서는 기업이 자체적으로 이미지를 떠 둘 경우, 조사기관·의회의 데이터 조작 가능성 지적이 남는다는 비판도 나왔다.

IT보안 업계 관계자는 “정밀 포렌식을 위한 데이터 이미징 시점과 방식, 전체 원본 데이터의 위변조 가능성을 공신력 있게 검증할 체계 마련이 필요하다"고 평가했다. 사이버 침해 사고 조사에서 기술적 절차와 법적 증거력이 교차되는 만큼, 향후 국내 기업 보안 운영 기준도 국제 수준으로 한 단계 강화될 수 있을지 주목된다.

산업계는 이번 LG유플러스 조치가 실제로 신뢰받는 사이버 조사 관행으로 안착할지에 시선을 모으고 있다. 기술·법률, 산업·제도적 균형이 국내 보안 생태계 신뢰 기반으로 작용할 전망이다.