(사진=박충권 의원실)
시큐어키는 LG유플러스 서버 접근 제어 솔루션을 담당하는 회사로, 이번 해킹 공격을 받은 것으로 알려졌다. 미국 해킹 전문지 ‘프랙’이 지난달 8일 공개한 자료에 따르면, 해커는 시큐어키를 해킹해 확보한 계정 정보로 LG유플러스 내부 네트워크에 침투해 8938대의 서버 정보와 4만 2526개의 계정 및 167명의 직원 정보를 유출했다.
이는 LG유플러스가 “자체 분석 결과 서버에 외부 침입 흔적이 없다”는 입장을 고수하는 것과 대조적이다. KISA는 지난 7월 19일 화이트해커로부터 해킹 침해 정황을 제보받고 LG유플러스, KT와 함께 시큐어키에도 신고해 조사를 받을 것을 요청했다.
이 가운데 시큐어키만이 KISA 요청에 응한 것이다. KISA가 지난달 22일 LG유플러스와 KT에 유출된 데이터가 실제 데이터와 동일하다는 증거를 제시하며 재차 신고를 요청했으나 이 역시 거부했다.
박충권 의원실은 현행 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’은 기업이 자진신고를 해야만 조사에 나설 수 있어 제도적 한계가 드러났다고 평가했다.
개인정보보호위원회는 지난 10일 LG유플러스와 KT를 대상으로 개인정보 유출 조사에 착수한 상태다. 개인정보보호법은 법위반 혐의를 알게 되거나 사건 발생 가능성이 상당한 경우에도 조사할 수 있도록 규정하고 있다.
박충권 의원은 “이번 사태는 기업이 자진신고를 회피할 경우 정부와 전문기관이 신속히 대응할 수 없는 제도적 허점을 드러낸 것”이라며 “국민의 재산 피해와 직결된 만큼 철저한 진상 규명으로 책임을 묻고, 재발 방지를 위해 법과 제도를 반드시 정비해야 한다”고 말했다.
