LG유플러스와 KT가 최근 제기된 해킹 정황에 대해 “침해 사실이 없다”는 입장을 고수하는 가운데, 협력 보안업체는 한국인터넷진흥원(KISA)에 직접 해킹 침해 사실을 신고한 것으로 확인됐다.

15일 국회 과학기술정보방송통신위원회 소속 박충권 국민의힘 의원실이 KISA로부터 제출받은 자료에 따르면, LG유플러스의 서버 접근제어 솔루션을 맡고 있는 외주 보안기업 시큐어키는 지난 7월 31일 KISA에 시스템 해킹을 신고했다. KISA는 다음 날 현장에 나가 기술 지원을 진행했다.

시큐어키는 LG유플러스 서버 관리 업무를 맡고 있으며 이번 공격의 직접적인 피해를 본 것으로 알려졌다. 앞서 미국 해킹 전문지 ‘프랙(Phrack)’은 지난달 8일 “해커가 시큐어키를 해킹해 확보한 계정으로 LG유플러스 내부망에 침투, 8938대 서버 정보와 4만여 개 계정, 167명의 직원 정보가 유출됐다”고 보도했다. 그러나 LG유플러스 측은 “외부 침입 흔적은 없었다”는 입장을 유지하고 있다.

협력사의 자진 신고는 대조적이다. KISA는 지난 7월 19일 화이트해커로부터 제보를 받고 LG유플러스와 KT, 그리고 시큐어키에 침해 사고 신고를 요청했다. 이 가운데 시큐어키만 응했고, LG유플러스와 KT는 지난달 22일에도 KISA가 “유출된 데이터가 실제와 동일하다”는 증거를 제시하며 재차 신고를 요구했지만 이를 거부한 것으로 드러났다.

현행 ‘정보통신망법’상 기업의 자진 신고가 있어야만 조사가 가능하다는 점도 문제로 지적된다. 개인정보보호위원회가 적용하는 개인정보보호법은 사정이 다르다. 개인정보위는 기업 신고 없이도 ‘법 위반 혐의를 알게 되거나 사고 발생 가능성이 상당한 경우’ 직접 조사에 나설 수 있다. 실제 개인정보위는 지난 10일 LG유플러스와 KT를 상대로 개인정보 유출 여부 조사에 착수했다.

박충권 의원은 “기업이 자진 신고를 회피하면 정부와 전문기관이 신속히 대응할 수 없는 제도적 허점이 드러났다”며 “국민 재산 피해와 직결된 사안인 만큼 철저히 진상을 규명하고, 재발 방지를 위해 법과 제도를 정비해야 한다”고 말했다.