[아이티데일리] SK텔레콤(SKT)에 이어 KT, LG유플러스도 해킹 공격으로 정보가 유출됐다는 의혹이 불거지자 과학기술정보통신부가 정밀 분석에 나섰다.

2일 정보보안 업계에 따르면 과기정통부와 한국인터넷진흥원(KISA)은 KT, LG유플러스에 대해 침해사고 여부 확인을 위해 현장 점검을 진행 중이다. 양 통신사로부터 자료를 제출받아 정밀 포렌식 분석을 병행하고 있다.

이번 의혹은 지난달 미국 해킹 기술 전문 간행물 ‘프랙(Phrack)’이 발표한 보고서에서 시작됐다. 익명의 화이트해커들은 ‘KIM’이라는 공격자로부터 8기가바이트(GB) 규모의 국내 기관·기업 유출 데이터를 확보했다고 프랙에 제보했다.

여기에는 LG유플러스 내부에서 사용하는 △서버 8,938개 △계정 42,526개 △167명의 사용자 ID 및 실명 정보 등이 포함됐다. 공격자는 LG유플러스에서 사용 중인 패스워드 통합 관리 솔루션(APPM)을 악용해 2023년 4월 21일부터 올해 4월 23일까지 데이터 유출을 이어온 것으로 추정된다.

KT에서는 인증서(SSL 키) 유출이 확인됐다. 이 인증서는 2023년 8월 5일경 유출된 것으로 추정되며, 유출 당시에는 유효했으나 현재는 만료된 상태다.

이 밖에도 행정안전부 ‘행정전자서명(GPKI)’ 인증서, 외교부 내부 메일 서버 소스코드, 통일부 및 해양수산부의 온나라 인증 토큰 생성 소스코드 등이 유출됐다.

이번 해킹은 장기간 이뤄진 공격인 데다 내부망까지 침해된 사고로 심각성이 높다. 그럼에도 당국의 조사는 속도를 내지 못하고 있다. 과기정통부와 KISA는 두 달여 전부터 침해사고라고 잠정 결론 내렸으나 KT, LG유플러스가 자진 신고하지 않은 탓에 조사에 차질을 빚은 것으로 알려졌다.

현행 정보통신망법상 기업이 침해사고 피해를 자진 신고하지 않으면 정부가 민관합동조사단은 구성하거나 현장 조사를 강제하는 일은 불가하다.

두 통신사는 자체 조사 결과 침해 정황은 아니라고 판단해 신고하지 않았다. 앞서 과기정통부 류제명 2차관은 지난 20일 국회 과학기술정보방송통신위원회 전체 회의에서 KT와 LG유플러스가 해킹을 당했다는 의혹에 “통신사들로부터 자료를 제출받아 확인하겠다”며 “두 통신사로부터 사이버 침해 사실이 없다는 답변을 받았다”고 말했다.

다만 과기정통부가 KT와 LG유플러스에 대해 현장 점검과 포렌식 분석을 진행 중이라 발표한 만큼 이번 해킹 사고와 관련된 상세한 경위가 조만간 밝혀질 것으로 예상된다.

과기정통부는 “이번 통신사 침해사고 정황과 관련해 침해사고가 확인되는 경우 투명하게 공개하겠다”고 밝혔다.