"서버 폐기까지 겹쳤다"…LG유플러스, 정보유출에 수사 의뢰 파장

통신 인프라 보안을 둘러싼 긴장감이 커지고 있다. LG유플러스 내부 서버에서 서버 목록과 서버 계정정보, 임직원 성명 등이 실제 유출된 사실이 정부 조사로 확인됐다. 그러나 일부 핵심 서버에 대해 운영체제 업그레이드, 재설치, 물리 폐기 등이 연속적으로 진행되면서 정작 침해 경로와 추가 피해 여부를 밝히기 위한 포렌식 조사가 막힌 상황이 드러났다. 정부는 이를 단순한 사후 조치가 아니라 조사 방해의 소지가 큰 부적절한 행위로 보고 경찰 수사를 요청하며, 통신 사업자의 사이버 보안 거버넌스 전반이 도마 위에 올랐다.

과학기술정보통신부는 민관합동조사단을 통해 진행한 LG유플러스 침해사고 조사 결과를 공개하고, LG유플러스 내부 서버에서 일부 정보 유출이 실제로 발생했다고 밝혔다. 조사 결과 익명의 제보자가 공개한 통합 서버 접근제어 솔루션, 이른바 APPM과 연계된 서버 목록, 서버 계정정보, 임직원 성명 데이터가 LG유플러스 내부 시스템에서 유출된 정보와 동일한 것으로 확인됐다. 내부 접근제어 솔루션은 다수 서버에 대한 접속 권한을 통합 관리하는 핵심 보안 인프라로, 이 레벨에서의 정보 유출은 추가 해킹 시도나 계정 탈취로 이어질 수 있어 위험도가 높다.

이번 조사 과정에서 절차상의 시간표도 구체적으로 드러났다. 한국인터넷진흥원은 지난 7월 18일 익명의 제보자로부터 LG유플러스 자료 유출 정황을 입수했고, 다음날인 7월 19일 LG유플러스에 관련 내용을 공유하며 침해사고 신고 절차를 안내했다. 이후 과학기술정보통신부와 한국인터넷진흥원은 자체 조사단을 꾸려 8월 25일부터 LG유플러스 현장 조사에 착수했다. LG유플러스가 공식적으로 침해사고를 한국인터넷진흥원에 신고한 시점은 10월 23일이며, 민관합동조사단은 10월 24일부터 본격 운영됐다. 제보 접수, 사업자 통보, 현장 조사, 공식 신고, 합동조사단 가동으로 이어지는 이 흐름은, 통신망 보안 사고에 대한 현행 대응 프로세스가 어떻게 작동하는지를 보여준다.

그러나 기술적 진상 규명 과정에서는 결정적인 공백이 드러났다. 조사단은 LG유플러스가 제출한 APPM 서버를 대상으로 정밀 포렌식 분석을 진행했지만, 익명 제보자가 공개한 자료와 서버 내 로그·데이터 구조가 상이하다는 점을 확인했다. 이는 실제 유출이 이뤄진 것으로 추정되는 다른 APPM 서버가 존재한다는 의미다. 조사단은 유출 원인을 역추적하기 위해 또 다른 APPM 서버를 확인했지만, 해당 시스템은 8월 12일 운영체제 업그레이드 작업이 진행돼 이미 포렌식에 필요한 과거 로그와 시스템 흔적이 사라진 상태였다. 서버 운영체제 업그레이드는 보안 강화를 위한 일반적 조치로 활용되지만, 이런 시점에서는 침해 흔적 보존 의무와 충돌할 수 있어 기준과 가이드라인 정비 필요성이 커지는 지점이다.

익명 제보자가 제시한 공격 경로도 쟁점이 됐다. 제보 내용에 따르면 공격자는 LG유플러스에 APPM 솔루션을 공급하는 협력사 시스템을 먼저 해킹한 뒤, 이를 발판으로 LG유플러스 내부로 진입했다는 주장이다. 이는 통신사 자체 시스템뿐 아니라 솔루션 공급사, 외주 인력 등이 사실상 동일 보안 영역 내에 편입되는 공급망 공격 시나리오에 해당한다. 조사단은 이 주장 검증을 위해 협력사 직원 노트북에서 시작해 LG유플러스 APPM 서버로 이어지는 네트워크 경로 전반을 추적했지만, 핵심 단서가 될 주요 서버들이 8월 12일부터 9월 15일 사이 순차적으로 운영체제 재설치 또는 물리 폐기된 사실을 확인했다. 결과적으로 해킹 경로와 공격자 흔적을 입증할 수 있는 체인은 모두 끊긴 셈이다.

정부와 조사단은 이런 일련의 조치가 이뤄진 시점에 주목했다. 서버 운영체제 재설치와 폐기가 이뤄진 8월 중순 이후는 한국인터넷진흥원이 이미 7월 19일 LG유플러스에 침해사고 정황을 전달하고 대응을 안내한 이후에 해당한다. 통상 침해사고 정황이 포착되면, 피해 확산 방지와 함께 디지털 포렌식을 위한 증거 보존 조치가 병행되는 것이 원칙이다. 조사단은 해당 서버들이 침해사고 조사에 핵심적인 자료를 보유했을 가능성이 크고, 그럼에도 운영체제 재설치와 물리 폐기가 진행돼 사실상 조사가 불가능해진 점을 고려해 이 조치를 부적절하다고 결론냈다. 과학기술정보통신부는 이를 위계에 의한 공무집행 방해에 해당할 소지가 있다고 보고 이달 9일 경찰청에 수사를 공식 의뢰했다.

보안 기술 측면에서 접근제어 솔루션이 공격 통로가 됐다는 점도 통신업계에는 무거운 메시지를 던진다. 서버 접근제어 솔루션은 다중 인증, 세션 기록, 권한 분리 등 고도화된 보안 통제를 제공하는 도구지만, 한 번 장악될 경우 수백 대 이상의 서버로 이어지는 관리자 권한 통합 키가 될 수 있다. 제보 내용처럼 협력사 시스템을 먼저 장악해 내부 보안 솔루션으로 이어지는 구조가 사실로 확인된다면, 통신사와 대형 IT 기업의 보안 전략은 방화벽 내부 영역에 대한 신뢰를 전제로 하는 기존 모델에서, 공급망 전반을 대상으로 한 제로트러스트 아키텍처로의 전환 압박을 받을 수밖에 없다.

글로벌 차원에서는 통신사와 클라우드 사업자를 겨냥한 공급망 공격과 계정 탈취가 이미 주요 위협으로 분류되고 있다. 유럽과 미국에서는 통신 인프라를 국가 주요 기반시설로 규정하며 침해사고 발생 시 일정 기간 로그 보존 의무, 주요 시스템 변경 시 정부 보고 의무 등을 강화하는 움직임이 이어지는 중이다. 특히 통신망은 5G, 사물인터넷, 클라우드 기반 서비스의 기반으로서, 한 번의 계정·서버 정보 유출이 방대한 2차 피해로 연결될 위험이 커 보안 규제와 산업계 자율 규범이 동시에 강화되는 추세다.

국내에서는 아직 디지털 포렌식 관점에서의 증거 보존 의무와, 침해 정황 통보 이후 사업자의 시스템 변경 범위를 어디까지 허용할 것인지에 대한 법적 기준이 명확하지 않다는 지적도 제기된다. 통신사 입장에서는 서비스 중단과 추가 피해를 막기 위해 긴급 패치와 재설치를 서두를 수밖에 없다고 항변할 여지가 있지만, 정부와 수사기관은 침해 원인 규명과 재발 방지를 위해 최소한의 로그와 시스템 이미지를 보존해야 한다는 입장이다. 이번 사건은 통신 사업자의 보안 운영과 정부 조사의 경계에서, 어디까지가 합리적인 사고 대응이고 어디부터가 공무집행 방해로 볼 수 있는지, 기준을 재정립하는 계기가 될 수 있다.

LG유플러스는 정부 발표 이후 짧은 입장을 통해 경찰 수사에 성실히 임하겠다고만 밝힌 상태다. 수사 과정에서는 실제 침해 범위와 공격 경로, 서버 운영체제 재설치 및 폐기를 둘러싼 의사결정 구조와 책임 소재, 협력사 보안 관리 체계 등 통신사 보안 거버넌스 전반이 재검증 대상이 될 전망이다. 통신과 클라우드, 미디어 서비스 등이 얽힌 대형 통신사의 보안 사고는 수많은 이용자 개인정보와 기업 간 데이터 연동에 영향을 줄 수 있어, 산업계는 이번 사건이 실제 제도 개선과 보안 투자 방향 변화로 이어질지 예의주시하고 있다. 기술과 규제, 보안 운영 관행 간 균형을 어떻게 맞출 것인지가 향후 통신 인프라 신뢰 회복의 관건으로 떠오르고 있다.