과학기술정보통신부와 한국인터넷진흥원(KISA)이 KT와 LG유플러스의 내부 자료가 해킹으로 유출된 정황을 확인하고도, 두 통신사의 자진신고 거부로 인해 민관합동조사단이 꾸려지지 못하고 있는 것으로 드러났다. 피해 규모와 원인을 명확히 밝히기 위한 정식 조사가 사실상 멈춰 선 셈이다.

최민희 국회 과학기술정보방송통신위원장은 “KT와 LG유플러스는 꼼수로 모면하려 하지 말고 자진신고를 통해 민관합동조사단 조사를 받아야 한다”며 “정부는 관련 법 개정에 즉각 나설 것”이라고 밝혔다.

지난 8월 8일, 해외 해킹 전문지 Phrack이 국내 정부기관과 민간기업 해킹 사실을 담은 보고서를 발표했다. 이후 고려대 정보보호대학원은 보고서 분석 결과를 공개하며 사태의 심각성을 알렸다. 과기부가 최 위원장실에 제출한 자료에 따르면, 국정원과 KISA는 이미 지난 7월 익명의 화이트 해커 제보를 받아 사실조사에 착수했던 것으로 확인됐다.

분석 결과, 행정안전부·외교부·통일부·해양수산부 등 정부 부처뿐 아니라 LG유플러스, KT, 한겨레 등 민간기업 자료가 해킹으로 유출된 사실이 드러났다. 유출 자료에는 내부 서버 접속 ID와 비밀번호, 보안 시스템 설명 자료, 직원 실명 등이 포함돼 있었다.

또 네이버·카카오 등 포털을 사칭한 피싱 흔적도 발견됐다. 정부·기업 시스템뿐 아니라 일반 국민도 해커들의 공격 대상이 될 수 있음을 보여준 셈이다.

■ KT·LGU+ “자사 정보 유출은 맞지만 침해 정황 없어”

KT는 SSL 인증서 키 유출 정황이, LG유플러스는 내부 서버 관리용 APPM 소스코드와 데이터베이스가 외부로 빠져나간 사실이 확인됐다. 그러나 두 회사는 자체 점검 결과 “침투 흔적은 없었다”며 침해사고 신고를 거부했다.

KISA는 “KT의 인증서와 개인키 파일, LG유플러스의 내부 서버 계정 정보 등이 외부로 유출된 것은 명백한 침해사고”라며 ‘잠정 결론’을 내렸지만, 법적으로 자진신고 없이는 강제 조사가 불가능하다.

현행법상 기업이 자진신고를 해야만 민관합동조사단이 꾸려져 서버 조사와 해킹 경로 추적이 가능하다. 하지만 기업 입장에선 자진신고 시 막대한 고객 이탈과 손실이 발생하기 때문에 신고를 회피하는 경우가 많다.

실제 지난 4월 SKT는 자진신고를 통해 유심 해킹 사실을 알렸고, 민관합동조사단 조사에서 악성코드 33종이 발견됐다. 그러나 KT와 LG유플러스는 신고를 거부하며 조사가 사실상 멈춰 있다.

최 위원장은 “일반 침해사고 정황이 드러난 경우 기업 출입 조사를 가능하게 하는 법 개정안을 준비 중”이라며 “법 개정 전이라도 KT와 LG유플러스가 해킹 피해 실상을 투명하게 밝히고 조사에 협조해야 한다”고 강조했다.