이해민 의원이 공개한 LG유플러스의 자체 계정 권한 관리 시스템 분석 결과는 충격적입니다. 드러난 보안 취약점은 총 8개에 달하며, 이 중 핵심적인 문제들은 정보 보안의 가장 기본적인 원칙조차 지켜지지 않았음을 시사합니다.
💡 기술적 심각성: 가장 심각한 취약점 중 하나는 비밀번호가 암호화되지 않은 채 ‘평문’으로 소스코드 안에 그대로 노출되었다는 점입니다. 이 의원은 이를 “금고 바깥에 비밀번호를 써서 쪽지로 붙여 놓은 꼴”이라고 맹렬히 비판했습니다. 또한, 웹페이지에는 별도 인증 없이 관리자 페이지에 접근할 수 있는 ‘백도어’ 기능이 있었고, 이 백도어에 접속할 수 있는 3자리 비밀번호까지 평문으로 노출되어 있었습니다.
더욱이 모바일로 시스템에 접속할 때 2차 인증 단계에서 특정 숫자 ('111111')를 입력한 뒤 메모리 값을 변조하는 방식으로 시스템에 손쉽게 접근이 가능했다는 점은 보안 설계 자체의 총체적인 부실을 드러내는 것입니다. 이러한 취약점들의 총합은 해커들에게 시스템을 완전히 장악할 수 있는 ‘마스터 키’를 제공한 것과 다름없습니다.
⚖️ 뒤늦은 신고 결정: LG유플러스 대표의 책임 있는 조치 약속
그동안 해킹 피해를 인정하지 않고 있던 LG유플러스는 국정감사장에서 입장을 선회했습니다. 홍범식 LG유플러스 대표는 이해민 의원의 질의에 한국인터넷진흥원에 피해 사실을 신고하겠다고 공개적으로 답변했습니다. 이는 사이버 침해 사실 확인 이후에 신고한다는 기존의 유보적인 입장을 철회한 것입니다.
💡 신고 지연의 문제점: 기업이 해킹 피해 사실을 인지하고도 신고를 지연하는 행위는 관련 법규 위반의 가능성을 내포할 뿐만 아니라, 국가 차원의 사이버 위협 대응 체계에도 혼선을 초래합니다. 특히 대규모 통신사로서 국민들의 통신 정보 보호에 대한 막중한 책임을 가지고 있음에도 불구하고 이러한 태도를 보인 것에 대해 강한 비판이 제기되고 있습니다. 대표의 신고 약속은 이제부터라도 책임 있는 자세로 전환하겠다는 의지의 표명으로 해석됩니다.
홍 대표는 “여러 혼란과 오해가 발생하고 있어 조금 더 적극적으로 검토할 예정”이라고 덧붙이며 사고 수습과 향후 대응에 최선을 다하겠다는 의사를 피력했습니다. 그러나 수많은 고객 정보를 다루는 기업으로서 사태 초기부터 투명하게 대응하지 못한 점은 향후 신뢰 회복에 큰 짐이 될 것입니다.
🔍 보안사고 매뉴얼 준수 여부 논란: 서버 재설치 과정의 투명성 문제
이해민 의원은 보안 취약점 자체 문제 뿐만 아니라, 사고 수습 과정의 투명성에 대해서도 강력한 의문을 제기했습니다. 의원에 따르면 LG유플러스는 서버 운영체계(OS)를 재설치하고 이미지를 떠서 제출했는데, 이 과정에서 “재설치 전 상황 그대로가 이미지에 담겼다고 어떻게 보장을 할 수 있는지”가 문제라는 것입니다.
💡 포렌식의 중요성: 사이버 보안 사고 발생 시 원인 규명과 피해 범위 확인을 위해서는 사고 발생 직후 시스템의 상태를 그대로 보존하는 ‘디지털 포렌식’ 과정이 매우 중요합니다. 만약 LG유플러스가 규정된 보안사고 매뉴얼을 따르지 않고 임의로 서버를 재설치했다면, 이는 정확한 사고 경위 조사를 방해하는 행위로 간주될 수 있습니다.
이 의원은 “이 과정에서 보안사고 매뉴얼대로 했는지 조사가 꼭 필요하다”고 강조하며, 단순히 취약점 개선 차원을 넘어 정보 통신 기업의 윤리적 책임과 절차적 투명성을 요구했습니다. 정확한 조사만이 사고의 진상을 규명하고 국민들의 불안을 해소할 수 있는 유일한 길입니다.
🛡️ 국민 신뢰 회복을 위한 근본적인 보안 의식 개혁 촉구
이번 LG유플러스 보안 취약점 사태의 가장 근본적인 문제는 ‘보안 불감증’입니다. 비밀번호를 평문으로 노출하거나 관리자용 백도어를 만드는 행위는 고도의 기술적 결함이라기보다는 정보 보안에 대한 기본적인 인식 부족과 안일한 관리 체계에서 비롯된 것으로 볼 수 있습니다.
💡 통신사의 사회적 책임: LG유플러스와 같은 기간 통신사업자는 개인 정보 뿐만 아니라 국가 통신망의 안정성과 직결되는 민감한 정보를 관리합니다. 단순히 기술적인 패치를 넘어 경영진부터 일선 직원까지 보안을 최우선 가치로 두는 근본적인 의식 개혁이 필수적입니다. 이번 사건을 계기로 정부와 국회는 통신 인프라 전반에 대한 보안 감사를 강화해야 할 것입니다.
국회 국정감사를 통해 드러난 LG유플러스의 보안 현실은 국민들에게 큰 실망과 불안감을 안겨주었습니다. 홍 대표가 약속한 KISA 신고를 시작으로, LG유플러스는 모든 보안 취약점을 신속하고 투명하게 해결하며 국민들의 신뢰를 회복하는 데 전사적인 노력을 기울여야 할 것입니다. 이번 사태가 국내 ICT 업계 전반의 보안 수준을 높이는 계기가 되기를 기대합니다.