(상보)LGU+, 해킹 의혹 제기된 OS 재설치
"복제 자료 제출했다"지만 정부 "포렌식 어려워, 고의 의심"
과학기술정보통신부가 지난 9일 경찰청 사이버테러대응과에 LG유플러스(15,500원 ▼140 -0.9%)를 형법상 위계에 의한 공무집행방해로 수사를 의뢰했다. 지난 10월24일부터 진행된 민관합동조사 중 LG유플러스가 해킹 의혹이 제기된 APPM(계정 권한 관리 시스템), 모바일 게이트웨이 일부를 폐기한 사실이 확인돼 조사를 방해하려는 고의가 있다고 본 것이다.
지난 8월 미국 보안 전문지 '프랙'은 해커가 LG유플러스의 외주 보안업체 '시큐어키'를 해킹해 얻은 계정 정보로 LG유플러스 내부망에 침투해 △8938대 APPM 서버 정보 △4만2256개 계정 △167명 직원정보를 빼돌렸다고 보도했다.
이에 과기정통부가 8월 11일 자체 점검 결과 제출을 요구하자 LG유플러스는 13일 "침해사고 흔적 없음"으로 보고했다. 그러나 지난 국정감사에서 LG유플러스가 보고 전날인 12일 APPM 서버 2대 중 1대의 운영체제(OS)를 재설치한 것으로 드러났다. 8월27일엔 2차 인증 기능을 가진 모바일 게이트웨이(GW) 서버 2대의 OS를 재설치했다. OS를 재설치하면 기존 데이터가 덮여 포렌식이 어려워지는 만큼 서버 폐기 의혹이 제기됐다.
LG유플러스는 "운영체제 재설치 이전과 이후 각 서버를 이미징한 복제 자료를 제출해 포렌식이 가능하다"고 반박했으나, 실제로는 정밀 분석이 어렵다는 게 과기정통부 입장이다. 과기정통부 관계자는 "LG유플러스가 제출한 APPM 서버와 복제 자료에선 유출된 데이터를 확인하기가 어려웠다"며 "노트북과 APPM 서버, 모바일 게이트웨이로 이어지는 경로상의 데이터가 모두 지워져 조사에 어려움을 겪고 있다"고 말했다. 사실상 조사를 방해하려는 의도가 보인다는 설명이다.
과기정통부는 지난 10월 KT(59,400원 ▼2,000 -3.26%)도 같은 혐의로 경찰에 수사 의뢰했다. KT는 8월1일 해킹 의혹이 제기된 서버를 폐기했다고 답변했으나, 실제로는 8월1일(2대), 8월6일(4대), 8월13일(2대)에 걸쳐 서버를 폐기한 것으로 나타났다. 또 폐기 서버 백업 로그가 있으면서도 이를 9월18일까지 조사단에 보고하지 않았다. 이에 경찰은 황태선 KT 정보보안실장을 불구속 입건하고 KT 사옥에 대한 압수수색을 진행했다.
