LG유플러스가 해킹 피해를 인정하지 않다가 국정감사장에서 뒤늦게 신고 의사를 밝혔다.
LG유플러스 홍범식 대표는 21일 국회 과학기술정보방송통신위원회 정보통신기술(ICT) 국정감사에서 조국혁신당 이해민 의원이 "한국인터넷진흥원(KISA)에 신고할 것이냐"고 묻자 "그렇게 하겠다"고 답했다.
홍 대표는 "사이버 침해 사실을 확인한 이후 신고하는 것으로 이해했으나, 여러 혼란과 오해가 발생해 적극적으로 검토하겠다"고 설명했다.
이 의원은 "LG유플러스가 비밀번호를 암호화하지 않고 소스코드에 그대로 노출시켰다"며 "이는 금고 바깥에 비밀번호를 쪽지로 붙여놓은 격"이라고 지적했다.
이 의원이 공개한 LG유플러스 내부 점검 결과에 따르면, 모바일로 시스템 접속 시 2차 인증 단계에서 숫자 '111111'을 입력하고 특정 메모리 값을 변조하면 접근이 가능했고, 모두 8개의 보안 취약점이 발견됐다.
또 관리자 페이지에 별도 인증 없이 접속 가능한 백도어가 존재했고, 소스코드 내에는 백도어 접속 비밀번호와 계정 관리용 비밀번호가 암호화되지 않은 상태로 평문 저장돼 있었다.
이 의원은 "LG유플러스가 서버 운영체계를 재설치한 뒤 이미지를 제출했지만, 재설치 전 상황이 그대로 보존됐는지 보장할 수 없다"며 "보안사고 대응 매뉴얼에 따라 조치가 이뤄졌는지 철저히 조사해야 한다"고 강조했다.