“비밀번호 평문 노출 논란”…LG유플러스, 해킹 피해 신고 방침 밝히며 보안 부실 질타

비밀번호 평문 노출과 관리자 백도어 등 기술적 취약점이 드러난 LG유플러스 해킹 사고를 둘러싸고 정치권과 기업 간 충돌이 격화됐다. 국회 과학기술정보방송통신위원회는 21일 정보통신기술(ICT) 분야 국정감사에서 LG유플러스의 해킹 피해 대응을 강하게 질타하며, 해킹 신고 및 추가 조사를 요구했다.

홍범식 LG유플러스 대표는 이날 국회 과방위 국정감사에 출석해 "사이버 침해 사실을 확인한 이후에 신고하는 것으로 이해하고 있었으나, 여러 혼란과 오해가 발생하고 있어 추가 신고 절차를 적극적으로 검토하겠다"고 말했다. 이해민 조국혁신당 의원이 한국인터넷진흥원(KISA)에 신고하겠느냐는 질의에 대해 "그렇게 하겠다"고 답변하며 기존 소극적 태도에서 입장을 바꿨다.

이해민 의원은 "LG유플러스가 비밀번호를 암호화하지 않고 소스코드 안에 그대로 노출한 것은 금고 바깥에 비밀번호를 쪽지로 붙여 놓은 것"이라며 보안 불감증을 강하게 비판했다. 또 "기술적 문제 이전에 근본적인 보안 의식 부재"라고 지적했다.  

이 의원에 따르면 LG유플러스 내부 계정 권한 관리 시스템에는 2차 인증 단계에서 숫자 '111111'을 입력하거나 특정 메모리 값을 변조하면 시스템에 쉽게 접근할 수 있으며, 총 8개의 보안 취약점이 드러난 것으로 알려졌다. 웹페이지 백도어, 소스코드 내 미암호화 평문 비밀번호 노출 등 심각한 관리 허점도 거론됐다.

LG유플러스 측은 "현재까지 조사에서 침해 사실이 발견되진 않았으나, 국민 염려와 오해를 해소하는 차원에서 관련 부처와 협의해 절차를 밟겠다"는 입장을 전했다.

그러나 국회는 해킹 의혹 조사 방식에도 문제를 제기했다. 이해민 의원은 "서버 운영체계(OS)를 재설치한 이미지를 증거로 냈지만, 사건 당시 상황이 반영된 것인지 알 수 없다"며 "보안사고 매뉴얼대로 조치를 했는지 철저한 조사가 필요하다"고 주장했다.

과방위 최민희 위원장 역시 "LG유플러스가 지난 달 보안 용역을 의뢰해 해킹 의혹 해명을 보고했는데, 남몰래 해킹 서버를 폐기하고 용역만 의뢰했다고 알린 것은 정부·국회를 기만한 것"이라며 강력한 유감을 표시했다.

이번 LG유플러스 해킹 보안 논란에 대해 정치권과 전문가들은 향후 정부 차원 조사 확대와 보안 대책 강화가 불가피하다는 목소리를 내고 있다. 국회는 이날 국정감사에서 관련 절차와 책임 규명을 두고 치열한 공방을 이어갔다. 정부와 정치권은 추후 조사 결과에 따라 엄정 조치와 제도 개선 가능성을 검토할 방침이다.