LG유플러스와 KT가 정부의 권유에도 해킹 정황을 신고하지 않았다는 이유로 논란에 휩싸인 가운데 LG유플러스의 보안 협력사는 침해사고를 신고한 사실이 확인됐다.

15일 국회 과학기술정보방송통신위원회 소속 박충권 국민의힘 의원이 한국인터넷진흥원(KISA)으로부터 제출받은 자료에 따르면 LG유플러스 서버 관리 협력사 ‘시큐어키’는 올해 7월 31일 KISA에 시스템 해킹을 신고, KISA가 8월 1일 기술지원을 실시했다.

시큐어키는 앞서 7월 19일 KISA로부터 유출정보 공유 및 확인요청을 받았고 같은 달 30일 침해사고 발생 정황 확인 및 침해사고 신고 안내를 받았다.

미국 해킹 전문매체 ‘프랙’이 지난달 공개한 자료에 따르면 북한 또는 중국 배후로 추정되는 해킹조직 ‘김수키’는 올해 4월 시큐어키를 경유해 LG유플러스 내부에서 사용하는 서버의 이름과 IP주소, 계정 ID, 암호화된 패스워드, 사용자 이름, 작업 설명 등이 담긴 파일을 빼냈다. 이 과정에서 총 8938개의 서버와 4만2526개의 계정, 167명의 사용자 ID와 LG유플러스 내부 직원 및 협력사 인력들의 실명이 유출됐다.

KISA는 7월 19일 통신사들의 침해 정황을 제보받고 LG유플러스·KT와 함께 시큐어키에도 신고를 요청했다. 통신 양사는 ‘서버에 외부 침입 흔적이 없다’는 자체 조사결과를 근거로 신고를 거부한 데 반해 시큐어키만 KISA 요청에 응한 셈이 됐다.

이와 관련해 LG유플러스는 신고가 이뤄지기 전 해킹 정황을 시큐어키와 공유했다는 입장이다.

LG유플러스 관계자는 15일 통화에서 “우리도 이 같은 정황을 시큐어키에 공유하고 알아볼 것을 요청한 상태였다”며 “(해킹조직이) 시큐어키에서 확보한 패스워드가 암호화된 것이라 침투흔적을 찾지 못했던 것 같다”고 설명했다.

박 의원은 “이번 사태는 기업이 자진 신고를 회피할 경우 정부와 전문기관이 신속히 대응할 수 없는 제도적 허점을 드러낸 것”이라며 “재발 방지를 위해 법과 제도를 정비해 나가겠다”고 말했다.

한편 개인정보보호위원회는 이달 10일부터 LG유플러스와 KT를 대상으로 개인정보 유출 조사에 들어간 상태다. 기업의 자진신고가 없으면 해킹 조사가 어려운 정보통신망법과 달리 개인정보보호법은 피해자의 침해신고 등으로도 조사가 가능하다는 이유다.

이재걸 기자 claritas@naeil.com