정부가 지난 8월 불거진 LG유플러스 해킹 의혹과 관련, 실제 자료 유출이 있었다고 확인했다. 또 유출 정황을 당국으로부터 통보받고도 핵심 증거가 담긴 서버를 초기화하거나 폐기했다며 경찰에 수사를 의뢰했다.
29일 과학기술정보통신부는 민관합동조사단의 LG유플러스 침해 사고 조사 결과를 공개하며 이같이 밝혔다. 정부는 조사 결과 LG유플러스의 내부 서버 관리용 계정 권한 관리 시스템(APPM) 서버 목록, 서버 계정 정보와 임직원 실명 등이 실제 LG유플러스에서 유출된 것으로 확인됐다고 밝혔다. APPM은 시스템 계정 패스워드를 관리하고 발급하는 보안 솔루션이다.
LG유플러스가 관련 자료를 은폐한 것으로 추정되는 정황도 발견됐다. 한국인터넷진흥원(KISA)은 지난 7월 18일 LG유플러스 자료 유출 관련 정보를 제보받고 침해 사고 신고를 안내했다. 이후 과기부는 자체 조사단을 꾸려 8월 25일부터 현장 조사를 실시했다. 조사단이 정밀 포렌식을 위해 LG유플러스에서 제출받은 APPM 서버는 KISA가 제보받은 것과 다른 것이었다. 또 실제 자료 유출이 이뤄졌을 것으로 보이는 다른 APPM 서버는 조사 시작 전인 8월 12일 운영체제(OS) 업그레이드 작업 등이 진행돼 로그 등 침해 사고 흔적이 사라진 상태였다.
“협력사가 해킹당한 뒤 LG유플러스 내부로 침투했다”는 제보 내용 역시 검증이 불가능했다. 협력사 직원 노트북에서 LG유플러스 서버로 이어지는 네트워크 경로상의 주요 서버들이 8월 12일부터 9월 15일 사이에 집중적으로 OS가 재설치되거나 물리적으로 폐기되었기 때문이다.
조사단은 관련 서버 OS 재설치 또는 폐기 행위가 KISA가 침해 사고 정황을 안내한 이후 이뤄졌기 때문에, 부적절한 조치로 판단하고 위계에 의한 공무집행 방해로 이달 9일 경찰청에 수사 의뢰했다.
LG유플러스의 해킹 소식은 지난 8월 미국 보안 전문지 ‘프랙’을 통해 처음 공개적으로 알려졌다. 당시 프랙은 LG유플러스 APPM 서버 소스코드와 8000여 개 서버 목록, 4만여 개 계정, 직원 167명의 실명과 아이디가 유출됐다고 보도했다. 당시 LG유플러스는 “서버에 외부 침입 흔적이 없다”고 고수해 왔으나 국회 등에서 지적이 이어지자 지난 10월 말 KISA에 침해 사고를 신고했다.