KT·LGU+도 뚫렸다? 해킹 정황에 KISA·과기정통부 포렌식 착수

올해 상반기까지 KT와 LG유플러스가 수개월 동안 사이버 공격을 받은 흔적이 드러났다. 지난 4월 SK텔레콤의 침해 사실이 밝혀진 데 이어 또 다른 대형 통신사들이 해킹 피해를 입은 것으로 의심되면서 파장이 커지고 있다. 1일 과기정통부는 "KT·LG유플러스 침해사고 여부 확인을 위해 현장점검을 진행 중이다. 관련 자료도 제출받아 정밀 포렌식 분석 중"이라고 밝혔다. 앞서 글로벌 해킹 전문지 '프랙 매거진' 40주년 기념호에서는 'APT Down: The North Korea Files'라는 보고서가 공개됐다. 익명의 화이트해커 두 명은 'KIM'이라는 공격자로부터 8GB에 달하는 한국 기관·기업 유출 데이터를 확보했다며 매거진에 제보했다. 유출 데이터 목록에는 KT와 LG유플러스에서 나온 자료가 포함된 것으로 나타났다. LG유플러스에서는 ▲내부 서버 관리 계정 권한 시스템(APPM) 소스코드와 데이터베이스 ▲8938대 서버 정보 ▲4만2526개 계정과 167명 직원·협력사 ID와 실명이 외부로 빠져나간 것으로 알려졌다. 올해 4월까지도 이 정보에 접근한 흔적이 남아 있었다. KT의 경우 SSL 인증서 키가 외부로 유출된 정황이 발견됐다. 해당 인증서는 당시에는 유효했지만 현재는 만료된 상태다. 피해는 통신사뿐 아니라 일부 정부 부처에도 확산됐다. 행정안전부 행정전자서명(GPKI) 인증서, 외교부 내부 메일 서버 소스코드, 통일부·해양수산부의 '온나라' 시스템 소스코드 및 내부망 인증 기록 등이 포함된 것으로 보고됐다. 과학기술정보통신부와 한국인터넷진흥원(KISA)은 이미 지난 7월부터 관련 정황을 인지하고 조사에 착수했으나, 두 통신사가 당국의 세부 조사를 거부한 것으로 전해졌다. 현행 정보통신망법상 기업이 침해 사실을 자진 신고하지 않으면 강제 현장 조사는 어렵다. 류제명 과기정통부 2차관은 지난달 20일 국회 과방위 전체회의에서 프랙 보도 내용을 언급하며, KT와 LG유플러스로부터 자료를 제출받아 사실관계를 확인하겠다고 밝혔다. 당시 최민희 위원장이 "통신사들이 자체적으로 해킹 여부를 조사해 보고한 내용을 믿을 수 있나"라고 묻자, 류 차관은 "자료를 받아 직접 확인하겠다"고 답했다. 류 차관에 따르면 두 회사 모두 해킹 피해가 없다고 보고한 상태다. 과기정통부는 "향후 실제 침해 사고가 드러날 경우 국민에게 투명하게 공개할 것"이라고 덧붙였다. /김서현기자 seoh@metroseoul.co.kr