CloudPNG

ºC

logo
IT/바이오

“통신사 서버 폐기 논란”…LG유플러스, 해킹 조사 정면 충돌 파장

최동현 기자
입력

통신 인프라와 개인정보 보안이 산업 경쟁력의 핵심으로 떠오른 가운데 대형 통신사의 서버 관리·사고 대응 방식이 정면 도마에 올랐다. LG유플러스에서 해킹 의혹이 제기된 서버가 조사 과정에서 폐기된 사실이 확인되면서 정부가 경찰 수사까지 요청했다. 네트워크 장비와 계정 관리 시스템은 전자 정부, 금융, 의료 등 다수 서비스의 기반이 되는 만큼, 이번 사안이 국내 통신 보안 거버넌스의 분기점이 될 수 있다는 관측이 제기된다.

 

과학기술정보통신부는 10월부터 운영 중인 민관합동조사단이 LG유플러스 고객 개인정보 유출 사고 원인을 규명하는 과정에서 관련 서버가 일부 폐기된 정황을 확인했다고 밝혔다. 과기정통부는 조사단이 LG유플러스 측에 해당 서버 제출을 요구했으나 이미 폐기된 것으로 파악되자, 고의성 여부를 따지기 위해 경찰청 사이버테러대응과에 정식 수사를 의뢰했다. 통신 인프라를 다루는 기업의 장애·침해 이력은 향후 보안 정책과 규제 설계에 직접 반영되기 때문에 데이터 보존 의무 위반 여부가 핵심 쟁점이 될 전망이다.

이번 논란의 출발점은 LG유플러스 서버에 대한 해킹 의혹이다. 국회 과학기술정보방송통신위원회 최민희 위원장에 따르면 과기정통부는 지난 7월 18일 LG유플러스 계정 권한 관리 시스템 서버 정보와 4만여 개 계정이 유출됐다는 제보를 접수했다. 해외 보안 전문 매체 프랙도 8월 유사한 내용을 보도하며, LG유플러스의 계정 권한 관리 시스템 APPM 서버가 공격 대상이 됐다고 전했다. 계정 권한 관리 시스템은 내부·외부 사용자 계정과 접근 권한을 통합 관리하는 핵심 보안 인프라이기 때문에, 실제 침해가 있었을 경우 2차·3차 공격으로 확산될 위험이 크다.

 

과기정통부는 제보 다음 날인 7월 19일 LG유플러스에 관련 내용을 통보하고 자체 점검을 요청했다. 이후 LG유플러스는 8월 13일 과기정통부에 공식 보고를 통해 침해 사고 흔적이 발견되지 않았다고 통보했다. 하지만 후속 조사에서 LG유플러스가 제보 전달 후 약 열흘이 지난 7월 31일 계정 관리 서버 1대를 물리적으로 폐기한 사실이 확인되면서, 조사 신뢰성에 의문이 제기됐다. 보안 사고 조사에서는 로그, 시스템 이미지 등 원본 데이터가 핵심 증거 역할을 하기 때문에, 서버 폐기 여부가 향후 포렌식 가능성을 가르는 분수령이 된다.

 

문제는 여기서 그치지 않았다. LG유플러스는 과기정통부에 침해 흔적이 없다고 보고하기 하루 전인 8월 12일 해킹 의혹이 집중된 APPM 서버의 운영체제를 재설치한 것으로 파악됐다. 서버 운영체제 재설치는 시스템 전 영역에 걸친 파일 구조와 설정을 초기화하는 작업이어서, 별도 이미지 백업이 없다면 기존 로그나 공격 흔적이 거의 사라진다. 통상 디지털 포렌식에서는 원본 디스크를 그대로 보존하고, 복제본에서 분석을 진행하는 것이 원칙이기 때문에, 이 같은 조치가 침해 사실 은폐를 위한 것 아니냐는 지적이 뒤따랐다.

 

정보보안 업계에서는 계정 권한 관리 시스템이 공격을 당할 경우 관리자 권한 탈취, 추가 시스템 침입, 고객 데이터베이스 접근 등으로 이어질 수 있어 고위험군에 속한다고 본다. 서버를 물리 폐기하거나 운영체제를 초기화할 경우, 침해 경로, 공격자 사용 도구, 내부 확산 여부 등을 재구성하기가 극도로 어려워진다. 특히 통신사는 다수의 기간망 사업자·기업 고객과 연동된 계정 체계를 운영하고 있어, 단일 시스템 사고가 국가 전체 디지털 생태계로 전파될 여지가 크다는 점에서 경각심이 커지고 있다.

 

LG유플러스는 의혹을 전면 부인하며 계획된 장비 정리와 보안 업데이트였다고 반박하고 있다. 회사 측 설명에 따르면 7월 31일 폐기된 서버는 사이버 침해 건과 무관하게 이미 1년 전부터 폐기가 예정돼 있던 장비였다. 지난해 2월 새로운 시스템을 재구축한 뒤 순차적으로 이관 작업을 진행했고, 연한이 끝난 서버를 7월 말 정리했다는 입장이다. 또 8월 12일 APPM 서버 운영체제 재설치에 대해서도 서버 업데이트 전후로 각각 전체 이미지를 생성해 한국인터넷진흥원에 제출했다고 강조했다. LG유플러스는 과기정통부와 한국인터넷진흥원이 진행 중인 조사에 성실히 임하겠다고 밝히며 은폐 의도는 없다고 선을 긋고 있다.

 

민관합동조사단 조사 과정에서도 서버 폐기 사실은 재차 확인됐다. 다만 LG유플러스가 폐기 사유와 절차, 이미지 백업 여부 등을 지속적으로 소명해 온 만큼, 정부는 행정 조사만으로 고의성을 판단하기 어렵다고 보고 수사기관에 공을 넘긴 것으로 풀이된다. 통신 사업자는 정보통신망법과 개인정보보호법 등에 따라 일정 기간 로그와 관련 자료를 보존해야 하며, 침해 사고 의심 시에는 기관 요청에 따라 신속하게 제공할 의무가 있다. 서버 폐기와 운영체제 재설치가 이런 보존 의무를 저해했는지가 주요 법적 쟁점이 될 수 있다.

 

과기정통부 관계자는 민관합동조사단이 관련 서버를 포함한 자료 제출을 요구했으나 LG유플러스가 해당 서버를 내지 못했고, 그 과정에서 물리 폐기 사실이 드러났다고 설명했다. 그는 고의성 여부가 문제가 될 수 있는 부분이라며, 이를 확인하기 위해 경찰 수사를 의뢰했다고 덧붙였다. 수사에서는 계획된 장비 폐기 일정과 해킹 제보 시점, 내부 의사결정 문서, 백업·이미지 파일 관리 내역 등을 종합적으로 들여다볼 것으로 예상된다.

 

업계에서는 이번 사안을 계기로 통신사 등 기간망 사업자의 사고 대응 표준과 데이터 보존 규범이 한층 강화될 수 있다는 분석이 나온다. 글로벌 통신사들은 대형 침해 사고 이후 포렌식 전용 로그 서버를 별도 운영하고, 계정 관리 시스템에 대한 상시 모니터링과 침해 시뮬레이션을 정례화하는 추세다. 국내에서도 최근 데이터 3법 개정과 전자금융·의료 데이터 규제 논의가 이어지면서, 네트워크 사업자를 향한 규제와 책임 논의가 거세지는 분위기다.

 

전문가들은 통신사가 보안 사고 의혹을 받는 상황 자체가 고객 신뢰와 국가 디지털 전략에 부정적 영향을 줄 수 있다고 지적한다. 동시에 실제 해킹 여부와 상관없이 조사 협조 과정에서 데이터 보존과 투명성이 담보되지 않으면, 시장과 이용자의 불신이 장기화할 수 있다는 우려도 제기된다. 산업계는 LG유플러스에 대한 경찰 수사 결과가 향후 통신·클라우드·플랫폼 기업의 보안 투자, 로그 관리, 내부 통제 체계 전반을 재점검하는 계기가 될지 주목하고 있다.

최동현 기자
share-band
밴드
URL복사
#lg유플러스#과학기술정보통신부#사이버테러대응과