"통신 3사 모두 해킹" 주장에...KT·LGU+ "정보 유출은 맞는데 해킹은 아니야"

사진=게티이미지 뱅크

SK텔레콤과 유사한 형태로 KT와 LG유플러스 역시 해킹사고가 있었다는 주장이 나온 가운데 두 회사가 "정보 유출은 맞지만 해킹 당한 정황은 없다"는 입장을 밝혔다. 과학기술정보통신부와 한국인터넷진흥원(KISA)이 조사에 착수했지만 전문가들은 해커들이 서버에 침입한 흔적을 지울 수 있어 정밀한 해킹 도구 분석이 필요하다는 입장을 내놓아 주목된다. 

2일 KT와 LG유플러스는 최민희 더불어민주당 의원의 "두 회사 역시 해킹 당한 정황이 있다"는 주장에 대해 "자사 시스템이 아닌 다중인증(MFA) 및 비밀번호 관리 서비스를 제공하는 외부 보안업체 등 다양한 경로를 통해 침해가 발생할 수 있다"며 "자사 시스템을 점검해 본 결과 침해 흔적이나 정보 유출 여부를 단정할 수 없다"고 밝혔다.

전날 최민희 더불어민주당 의원실은 “한 달여 전 국정원과 KISA 측에 익명의 화이트해커가 관련 내용을 제보했고, 사실조사에 착수했다”고 밝혔다.

의원실 조사에 따르면 KT에서는 인증서와 개인키 파일이 유출됐으며, LG유플러스에서는 8938대 서버 정보와 4만2526개 계정, 167명의 직원 및 협력사 정보가 유출된 것으로 확인됐다. KT 인증서 정보는 유출 당시 유효했으나 현재는 만료된 상태다. 해킹 전문지 ‘프랙’도 최근 보고서를 통해 KT와 LG유플러스 서버에서 동일한 데이터가 유출됐다고 발표한 바 있다. 

최 의원실은 "APPM은 통신사 내부 서버에 접근할 수 있는 마스터키와 같아 APPM 소스코드 유출은 설계도 자체가 유출된 것과 같다"며 "LG유플러스가 APPM 암호를 변경해도 해커 조직은 변경된 암호를 손쉽게 알아낼 수 있고 복호화도 가능하다"고 설명했다.

그래픽=아주경제

두 회사는 KISA에 "자체 조사 결과 침해 정황이 발견되지 않았으며 침투 흔적이 없었다"고 통보했다. LG유플러스는 8938대 서버 정보의 구체적 내용을 공개하지 않고 있다. 보안업계는 고객 개인정보를 저장하는 서버가 포함됐다면 SK텔레콤 유심 해킹 사태와 유사한 문제가 발생할 수 있다는 분석이 나온다.

과기정통부는 KT와 LG유플러스의 침해사고 여부를 확인 중이다. 현장점검과 관련 자료 제출을 받아 정밀 포렌식 분석을 진행하고 있다. 조사 결과는 1~2달 내 발표될 것으로 전망된다.

과기정통부 관계자는 “통신사 서버를 통해 정보가 유출됐을 수도 있지만, 협력사 등 다양한 경로가 존재하기 때문에 현재로서는 명백한 침해사고로 단정하기 어렵다”며 “정밀 포렌식을 통해 비인가 접속 흔적까지 확인할 계획”이라고 밝혔다.

학계 전문가들은 디지털 해킹 특성상 흔적을 남기지 않을 수도 있어, 단순 로그 기록만으로 유출 여부를 단정할 수 없다고 지적한다.

이기혁 중앙대 융합보안학과 교수는 "통신사들의 설명에 따르면 '정보 유출은 있었지만 해킹은 없었다'고 주장하지만 실제 해킹 사실 확인은 어렵다"며 "과기정통부와 KISA가 해킹 도구 자체를 정밀 분석하고 누락 없이 서버 전수 점검이 필요하다"고 말했다.

이 교수는 "해킹 흔적을 지우는 ‘IP 세탁’ 기법이 존재하기 때문에 북한이나 중국 등을 특정하기 전에 관계 기관 간 협의와 다각적 검증이 필요하다"고 설명했다.

IT 업계는 KT와 LG유플러스가 해킹 사고를 인정하기는 쉽지 않은 상황이 됐다고 분석한다. SK텔레콤은 먼저 해킹 사고를 신고한 뒤, 고객 피해가 없었는데도 불구하고 1148억원이라는 사상 최대 과징금을 부과 받았다. 때문에 두 회사가 해킹 사고를 인정하는 순간 거액의 과징금 부과 대상이 될 수 있다는 것이다.

전문가들은 어디까지 해킹 피해로 볼지 여부를 명확하게 구분지을 필요가 있다는 의견도 내놓고 있다. 이성엽 고려대 기술경영전문대학원 교수는 "해킹은 권한 없는 망 침입 자체가 문제이지 반드시 정보 유출이 요건은 아니다"라며 "망 안정성에 위험이 발생했을 때 침해로 볼 수 있다는 점에서 정보 유출은 맞지만 해킹 당한 것은 아니라는 통신사 주장에도 일리가 있다"고 분석했다.