“통신사 해킹 논란에 ‘정황 없다’”…KT·LG유플러스, 외부 침입 부인 속 협력사 조사

최근 KT와 LG유플러스 등 주요 통신사 서버 해킹 의혹이 업계를 강타하고 있다. 업계 선두 기업들은 미국 보안 전문지 프랙이 제기한 해킹 정황에 대해 “본사 시스템 침해는 없었다”고 선을 긋고 있으나, 한편으론 실제로 협력업체가 사이버 침해를 당해 관련 기관에 자진 신고 및 조사가 이루어진 사실이 드러났다. 업계는 통신 인프라의 보안 사각지대가 다시금 도마에 오른 가운데, 기업의 정보보호 책임과 공공기관의 신속 대응 체계에 대한 논란이 이어지고 있다고 평가한다.

LG유플러스 관계사는 지난 7월, 서비스 서버 접근 제어 솔루션을 맡는 외주 보안기업 시큐어키가 한국인터넷진흥원(KISA)에 시스템 해킹 정황을 신고했고, 곧바로 기술지원을 받은 것으로 밝혀졌다. 시큐어키는 실제로 해커 공격 대상이 되었고, 프랙이 공개한 자료엔 해커가 시큐어키를 통해 LG유플러스 내부 네트워크에 접근해 약 8,938대의 서버 정보, 42,526개의 계정 및 167명의 직원 정보 등이 유출된 것으로 기록됐다고 전해진다.

그럼에도 LG유플러스와 KT는 자사 시스템의 실제 침해 및 정보 유출 흔적은 전혀 없다는 입장을 견지한다. “협력사 해킹은 인지했지만, 본사 서버 및 개인정보 유출 정황은 확인되지 않았다”는 것이 LG유플러스 공식 설명이다. KT 역시 해킹 정황을 부정하고 있다. 이에 대해 박충권 국민의힘 의원실은 “협력사는 해킹 정황을 자진 신고했으나 통신사 본체가 신고를 회피했다”며 입장 차이를 지적했다.

보안 당국에서도 문제점을 인식하고 있다. 한국인터넷진흥원(KISA)이 지난 7월 화이트해커의 제보를 받고 관련 통신사와 협력사에 해킹 의심사례 신고를 요청했으나, 시큐어키만이 정식으로 응했다. 이후 KISA가 8월 LG유플러스와 KT에 데이터 유출 사실 증거를 추가로 제시하며 재차 신고를 요구했으나, 통신사들은 이를 받아들이지 않았다고 의원실은 설명했다.

업계에서는 “공공 인프라 정보 유출 논란이 반복됨에도 제한적 신고제와 기업 자율공시 위주의 현행 제도가 KNIN·통신보안 사각지대를 키울 수 있다”고 분석한다. 박충권 의원은 “기업이 자진 신고를 회피하면 정부와 전문기관이 신속하게 대응할 수 없는 제도적 허점이 드러난 것”이라며, “국민 재산 피해와 직결된 만큼 법령 개정과 실제 책임 규명이 필수”라고 강조했다.

LG유플러스는 “내부망에 침해 흔적은 발견되지 않았고, KISA와 정보를 공유하며 지속적으로 조사에 협력 중”이라고 밝혔다. 산업계는 이번 사태가 대형 통신사와 협력사 간 경계, 실제 유출 정황에 대한 투명한 공시, 법·제도 개선을 촉구하게 될지 주목하고 있다. 결국 기술의 속도보다, 산업 구조 전환이 먼저 이뤄져야 한다는 지적도 나오고 있다.