LGU+, 비밀번호 등 8개 보안 취약점 드러나
이해민 "보안 불감증 심각…정부 조사 필요"
해킹 피해를 부인하던 LG유플러스가 당국에 피해 사실을 신고하겠다고 입장을 선회했다.
홍범식 LG유플러스 대표는 21일 국회 과학기술정보방송통신위원회 국정감사에서 "사이버 침해 사실을 확인한 후 당국에 신고하는 것으로 이해하고 있었는데, 여러 혼란과 오해가 발생하고 있다"며 "(신고에 대해) 조금 더 적극적으로 검토할 예정"이라고 말했다.
이해민 조국혁신당 의원에 따르면, LG유플러스가 최근 자체적으로 계정 권한 관리 시스템을 분석한 결과 모바일로 시스템에 접속 시 2차 인증 단계에서 숫자 '111111'을 입력하고 특정 메모리값을 변조하면 시스템에 접근이 가능한 점 등 총 8개의 보안 취약점이 드러난 것으로 알려졌다.
자체 웹사이트에서는 별도 인증 없이 관리자 페이지에 접근할 수 있는 백도어가 있었고, 소스코드에는 백도어에 접속할 수 있는 비밀번호 3자리와 계정 관리에 필요한 비밀번호가 암호와 없이 노출돼 있었다.
이 의원은 "LG유플러스가 비밀번호를 암호화하지 않고 소스코드에 그대로 노출했다는 것은 금고 바깥에 비밀번호를 적어 쪽지로 붙여놓은 꼴"이라며 "기술적인 문제 이전에 심각한 보안 불감증"이라고 지적했다.
그는 "LG유플러스가 사고 이후 서버 운영체제(OS)를 재설치하고 서버 이미징 후 정부에 제출했는데, 재설치 전 상황이 이미징에 포함되었는지 보장할 수 없다"며 "보안사고 매뉴얼대로 처리했는지 조사가 꼭 필요하다"고 질타했다.
이어 이 의원이 홍 대표에게 한국인터넷진흥원(KISA)에 사고를 신고할 것이냐고 묻자, 홍 대표는 "그렇게 하겠다"고 답했다.
LG유플러스 측은 침해 신고와 관련해 "현재까지 조사 과정에서 사이버 침해 사실이 발견된 바는 없다"면서도 "국민 염려와 오해를 해소하는 차원에서 관련 부처와 협의해 추가 절차를 밟겠다"고 설명했다.
