21일 서울 여의도 국회에서 열린 과학기술정보방송통신위원회의 정보통신산업진흥원 등에 대한 국정감사에 증인으로 출석한 홍범식 LGU+ 대표가 의원 질의에 답변을 하고 있다. 윤창원 기자LG유플러스가 해킹 피해를 인정하지 않다가 국정감사장에서 뒤늦게 신고 의사를 밝혔다.
LG유플러스 홍범식 대표는 21일 국회 과학기술정보방송통신위원회 정보통신기술(ICT) 국정감사에서 조국혁신당 이해민 의원이 "한국인터넷진흥원(KISA)에 신고할 것이냐"고 묻자 "그렇게 하겠다"고 답했다.
홍 대표는 "사이버 침해 사실을 확인한 이후 신고하는 것으로 이해했으나, 여러 혼란과 오해가 발생해 적극적으로 검토하겠다"고 설명했다.
이 의원은 "LG유플러스가 비밀번호를 암호화하지 않고 소스코드에 그대로 노출시켰다"며 "이는 금고 바깥에 비밀번호를 쪽지로 붙여놓은 격"이라고 지적했다.
이 의원이 공개한 LG유플러스 내부 점검 결과에 따르면, 모바일로 시스템 접속 시 2차 인증 단계에서 숫자 '111111'을 입력하고 특정 메모리 값을 변조하면 접근이 가능했고, 모두 8개의 보안 취약점이 발견됐다.
또 관리자 페이지에 별도 인증 없이 접속 가능한 백도어가 존재했고, 소스코드 내에는 백도어 접속 비밀번호와 계정 관리용 비밀번호가 암호화되지 않은 상태로 평문 저장돼 있었다.
이 의원은 "LG유플러스가 서버 운영체계를 재설치한 뒤 이미지를 제출했지만, 재설치 전 상황이 그대로 보존됐는지 보장할 수 없다"며 "보안사고 대응 매뉴얼에 따라 조치가 이뤄졌는지 철저히 조사해야 한다"고 강조했다.