![과기정통부, LGU+ 정보유출·접속장애에 경고 및 특별 조사 [연합뉴스]](https://cgeimage.commutil.kr/phpwas/restmb_allidxmake.php?pp=002&idx=3&simg=202509151600450464648439a4874112222163195.jpg&nmt=29)
과기정통부, LGU+ 정보유출·접속장애에 경고 및 특별 조사 [연합뉴스]
국회 과학기술정보방송통신위원회 소속 박충권 국민의힘 의원실이 한국인터넷진흥원(KISA)으로부터 제출받은 자료에 따르면, LG유플러스 외주 보안기업인 시큐어키는 지난 7월 31일 KISA에 시스템 해킹을 신고했다. KISA는 이튿날인 8월 1일 즉시 기술지원에 나섰다.
시큐어키는 LG유플러스 서버 접근 제어 솔루션을 담당하는 회사로, 이번 해킹 공격의 직접적인 피해를 입은 것으로 알려졌다. 프랙이 지난달 8일 공개한 자료에 따르면, 해커들은 시큐어키를 해킹해 확보한 계정 정보를 이용해 LG유플러스 내부 네트워크에 침투했다. 이 과정에서 8,938대의 서버 정보와 42,526개의 계정, 그리고 167명의 직원 정보가 유출된 것으로 전해진다.
정부 요청에도 불응한 통신사들
더욱 주목할 점은 KISA가 지난달 22일 LG유플러스와 KT에 유출된 데이터가 실제 데이터와 동일하다는 구체적인 증거까지 제시하며 재차 신고를 요청했지만, 두 통신사는 이마저도 외면했다는 사실이다.
LG유플러스 측은 "시큐어키를 통해 유출된 아이디, 패스워드로 현재까지 자사 서버에 침투한 흔적이 발견되지 않았다"며 "패스워드가 일방향 암호화로 복호화가 불가능하기 때문에 침해 신고를 하지 않았다"고 해명했다. 하지만 협력사의 자진 신고와는 대조적인 모습을 보이고 있다.
제도적 허점 드러난 법적 체계
이번 사태는 현행 법률의 한계를 여실히 드러냈다. '정보통신망 이용촉진 및 정보보호 등에 관한 법률'은 기업이 자진신고를 해야만 조사에 나설 수 있도록 규정하고 있어, 기업이 신고를 회피할 경우 정부의 대응이 제한적일 수밖에 없다.
반면 개인정보보호위원회는 보다 강력한 조사 권한을 갖고 있다. 개인정보보호법에 따라 법위반 혐의를 알게 되거나 사건·사고 발생 가능성이 상당한 경우에도 이른바 '인지 조사'를 실시할 수 있기 때문이다. 실제로 개인정보위는 지난 10일 LG유플러스와 KT를 대상으로 개인정보 유출 조사에 착수했다. 기업의 개인정보 유출 신고가 없었음에도 시민단체 민원과 소액결제 피해자의 침해신고를 근거로 조사를 시작한 것이다.
박충권 의원은 "이번 사태는 기업이 자진 신고를 회피할 경우 정부와 전문기관이 신속히 대응할 수 없는 제도적 허점을 드러낸 것"이라고 지적했다. 그는 "국민의 재산 피해와 직결된 만큼 철저한 진상 규명으로 책임을 묻고, 재발 방지를 위해 법과 제도를 반드시 정비해야 한다"고 강조했다.
현재 정보통신망법과 개인정보보호법 간의 조사 권한 차이가 크다는 점에서 법 개정에 대한 목소리가 높아지고 있다. 특히 사이버 보안이 국가 안보와 직결되는 상황에서 기업의 자진신고에만 의존하는 현행 제도의 한계가 명확히 드러난 만큼, 보다 적극적인 조사 체계 구축이 필요하다는 지적이 제기되고 있다.
한편 LG유플러스 측은 "진행 중인 과학기술정보통신부 조사에 최대한 협조해 모든 내용을 투명하게 밝힐 수 있도록 하겠다"고 밝혔지만, 이번 사태로 인한 신뢰 회복과 제도 개선에는 상당한 시간이 걸릴 것으로 보인다.
[글로벌에픽 안재후 CP / anjaehoo@naver.com]
<저작권자 ©GLOBALEPIC 무단 전재 및 재배포 금지>
