【 청년일보 】 홍범식 LG유플러스 대표는 21일 국회 과학기술정보방송통신위원회 정보통신기술(ICT) 분야 산하기관 국정감사에 출석해 이해민 조국혁신당 의원이 한국인터넷진흥원(KISA)에 신고하겠느냐는 질문에 "그렇게 하겠다"고 대답했다.

이는 앞서 미 보안 전문지 프랙이 제기한 개인정보 유출 의혹과 관련된 것이다. 지난 8월 프랙이 공개한 내용에 따르면 LG유플러스는 계정 권한 관리 시스템(APPM) 서버 정보와 4만여개 계정 등이 유출된 것으로 의심받고 있다.

홍 대표는 "사이버 침해 사실을 확인한 이후에 신고하는 것으로 이해하고 있었는데 여러 혼란과 오해가 발생하고 있어 조금 더 적극적으로 검토할 예정"이라고 부연했다.

이 의원은 "LG유플러스가 비밀번호를 암호화하지 않고 소스코드 안에 그대로 노출했다는 것은 금고 바깥에 비밀번호를 써서 쪽지로 붙여 놓은 꼴"이라며 "기술적인 문제 이전에 심각한 보안 불감증"이라고 비판했다.

이 의원에 따르면 LG유플러스가 자체적으로 계정 권한 관리 시스템을 분석한 결과 모바일로 시스템에 접속 시 2차 인증 단계에서 숫자 '111111'을 입력하고 특정 메모리 값을 변조하면 시스템에 접근할 수 있는 등 모두 8개의 보안 취약점이 드러났다.

웹페이지에는 별도 인증 없이 관리자 페이지에 접근할 수 있는 백도어가 있었고 소스코드에는 백도어에 접속할 수 있는 비밀번호 3자리, 계정 관리에 필요한 비밀번호가 암호화되지 안은 채 평문으로 노출돼 있었다.

그는 "LG유플러스가 서버 운영체계(OS)를 재설치하고 이미지를 뜬 것을 제출했는데 (재설치 전) 상황 그대로가 이미지에 담겼다고 어떻게 보장을 할 수 있는지가 문제"라며 "이 과정에서 보안사고 매뉴얼대로 했는지 조사가 꼭 필요하다"고 강조했다.
 

【 청년일보=이창현 기자 】