LG유플러스(032640)가 운용하던 계정권한관리시스템(APPM) 설루션에 8건의 보안 취약점이 있다는 주장이 제기됐다. 인증 서버 등록 과정에서 인증번호를 '111111'로 입력 후 임직원 권한을 얻거나 관리자 페이지에 별도 인증 없이 접근 가능한 백도어가 심어져 있던 정황이 포착됐다.

국회 과학기술정보방송통신위원회 소속 이해민 의원은 21일 LG유플러스로부터 받은 자료 분석 결과 해당 서버의 소스코드·설정파일·데이터베이스 일체가 유출된 정황이 있다고 밝혔다. 또 이후 일부 서버가 재설치·폐기됐다며 증거보전·은폐 의혹도 함께 제기했다.

의원실에서 확보한 취약점 목록에 따르면 해당 시스템은 △모바일 접속 시 2차 인증 단계에서 특정 숫자 입력과 메모리값 변조만으로 접근이 가능한 취약점 △관리자 페이지에 별도 인증 없이 접근 가능한 백도어 △소스코드 내 평문 노출된 비밀번호·암호화 키 등 총 8건의 결함이 있던 것으로 분석됐다.

이 의원은 이들 중 단 하나만으로도 원격 권한탈취·내부망 침투가 가능한 수준이라고 주장했다.

이와 관련해 이날 이 의원은 국회 과방위 국정감사에서 "LG유플러스 측은 소스코드 유출된 게 별거 아니라고 했는데, 별거 아니면 소스코드를 위원실로 제출 가능하냐"며 "대국민 서비스를 한 게 신기할 정도"라고 질타했다.

아울러 이 의원이 해킹 정황이 발생했고, 서버 삭제 의혹도 나오고 있다며 KISA에 신고를 안 한 탓에 불거진 일이라고 지적하자 홍범식 LG유플러스 대표는 KISA 신고 의향을 밝혔다.

이와 관련해 LG유플러스 측은 "당사는 국정감사에서 KISA에 신고하겠다고 답변했다"며 "이는 현재까지 조사에서는 침해 사실이 발견되지 않았지만, 국민적 염려와 오해를 해소하는 차원에서 국회와 과기부의 절차에 따라 적극적으로 대응하겠다는 의미"라고 공식 입장을 냈다.

앞서 지난 8월 글로벌 해킹 권위지 '프랙 매거진'은 LG유플러스의 8938대의 서버 정보와 4만2526개의 계정 및 167명의 직원 정보가 유출됐다고 발표한 바 있다. 이와 관련해 KISA는 지난 7월 해킹 정황을 확인하고 LG유플러스에 침해 사고 신고를 권유했지만 회사 측은 "침해 정황이 없다"며 이를 받아들이지 않았다. 다만 과학기술정보통신부의 권유에 따라 현장 조사를 진행 중이다.

아울러 LG유플러스는 보고 하루 전인 8월 12일 해킹 의혹이 제기된 '계정 권한 관리 시스템' 서버의 운영체계를 재설치한 것으로 확인돼 서버 폐기 논란이 일었다.

Ktiger@news1.kr