지이코노미 강매화 기자 | LG유플러스의 내부 업무망 보안이 심각한 허점을 드러냈다. 직원 인증 절차가 사실상 무용지대였고, 백도어 비밀번호까지 외부에 유출된 정황이 확인됐다.

MBC 보도에 따르면, 지난 8월 미국 보안 전문 매체 ‘프랙’이 공개한 해킹 그룹 ‘김수키’ 파일에는 LG유플러스 서버 8천여 대의 정보와 4만여 개 계정 정보, 직원 167명의 실명과 ID가 포함돼 있었다. 특히 직원들이 업무망 접속 시 사용하는 계정 권한 관리 시스템 소스 코드도 유출됐다.

LG유플러스가 자체 점검한 결과, 업무망 접속 시 문자 인증번호를 입력하는 절차가 있었지만, 번호는 ‘11 11 11’로 고정돼 있어 누구나 여섯 번 1을 입력하면 접속할 수 있었다. 사실상 ‘만능열쇠’였다.

또한 PC 웹페이지 업무망에는 인증 없이 관리자 모드에 들어갈 수 있는 ‘백도어’가 존재했으며, 유출된 소스코드에는 백도어 비밀번호 3자리까지 그대로 담겨 있었다. 앱 초기 설정 비밀번호도 암호화되지 않은 채 노출됐다.

국회 과학기술정보방송통신위원회 이해민 의원은 “방어막은커녕 해커들을 위한 레드카펫을 깔아 놓은 꼴”이라며 “기술 문제가 아니라 심각한 보안 불감증”이라고 지적했다.

LG유플러스는 정보 침해 사실이 없었다며 해킹 피해를 신고하지 않았다. 오히려 확인된 취약점을 보완한다는 명목으로 서버 운영체계를 새로 설치하며 무단 폐기 의혹까지 불거졌다.

홍범식 LG유플러스 대표는 KISA 신고 여부에 대해 “신고하겠다”고 밝혔다. 과학기술정보통신부는 유플러스가 해킹 사실을 은폐하려고 서버를 재설치했는지 여부를 조사할 계획이다.