LG유플러스와 KT가 해킹 정황에 대해 ‘침해 사실이 없다’는 입장을 고수하는 가운데 LG유플러스 서버 접근제어 솔루션을 담당하는 보안기업 시큐어키(SecureKi)는 한국인터넷진흥원(KISA)에 침해 사고를 신고해 기술지원(조사)을 받은 것으로 확인됐다.

15일 국회 과학기술정보방송통신위원회 소속 박충권 국민의힘 의원실이 KISA로부터 제출받은 자료에 따르면, LG유플러스 외주 보안기업인 시큐어키는 7월 말일에 KISA에 시스템 해킹을 신고했고, KISA는 바로 그다음 날에 기술지원을 실시했다.

시큐어키는 LG유플러스 서버 관리 회사로, 이번 해킹 공격을 받은 것으로 알려졌다. 미국 해킹 전문지 ‘프랙(Phrack)’이 지난달 8일 공개한 자료를 살펴보면, 해커가 시큐어키를 해킹해 확보한 계정정보로 LG유플러스 내부 네트워크로 침투해, 8938대의 서버 정보와 4만2526개의 계정 및 167명의 직원 정보가 유출했다. 현재 LG유플러스 측은 “자체 분석 결과 서버에 외부 침입 흔적이 없다”는 입장을 고수하고 있다.

LG유플러스의 이러한 공식 입장은 협력사인 시큐어키의 자진 신고와 비교된다. KISA는 7월 19일 화이트해커로부터 해킹 침해 정황을 제보받고 LG유플러스, KT와 함께 시큐어키에도 신고해 조사를 받을 것을 요청했다. 이 가운데 시큐어키만이 KISA 요청에 응했다. 또 KISA가 지난달 22일 LG유플러스와 KT에 유출된 데이터가 실제 데이터와 동일하다는 증거를 제시하며 재차 신고를 요청했으나 이를 받아들이지 않았다.

‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’(법률 제20678호) 개정이 필요하다는 목소리가 나오는 것도 이 때문이다. 현행 법은 기업이 자진신고를 해야만 조사에 나설 수 있다. 개인정보 보호법에 따라 이른바 ‘인지 조사’를 할 수 있는 개인정보보호위원회와도 조사 권한의 차이가 크다.

개인정보위는 이달 10일 LG유플러스와 KT를 대상으로 개인정보 유출 조사에 착수했다. 개인정보 보호법은 법 위반 혐의를 알게 되거나 사건·사고가 발생할 가능성이 상당히 있는 경우에도 조사에 착수할 수 있도록 열어두고 있다. 개인정보위는 기업의 개인정보 유출 신고는 없었으나 시민단체 민원과 소액결제 피해자의 침해신고가 있었다고 조사 배경을 밝혔다.

박충권 의원은 “이번 사태는 기업이 자진 신고를 회피할 경우 정부와 전문기관이 신속히 대응할 수 없는 제도적 허점을 드러낸 것”이라며 “국민의 재산 피해와 직결된 만큼 철저한 진상 규명으로 책임을 묻고, 재발 방지를 위해 법과 제도를 반드시 정비해야 한다”고 말했다.

한편 이번 LG유플러스의 해킹 사고와 관련한 시큐어키 대응 현황을 시간대별로 살펴보면 먼저 △7월 19일 유출정보 공유 및 확인 요청 △7월 30일 KISA가 시큐어키에 침해사고 발생 정황 확인 및 침해사고 신고 안내 △7월 31일 시큐어키가 ‘개발한 솔루션(APPM)을 사용 중인 소스코드 및 데이터 유출’ 내용으로 KISA에 침해사고 신고 및 접수 △8월 1일 침해사고 원인분석을 위한 현장출동(가산동 시큐어키 본사) △8월 4일 시큐어키가 KISA로 전사 시스템 및 PC 로그 자료 회신 등으로 진행됐다.