[알파경제=차혜영 기자] LG유플러스가 해킹 정황이 있는 서버를 무단으로 폐기했다는 의혹이 제기된 가운데, 해당 서버에서 다수의 보안 취약점이 확인된 것으로 드러났습니다.

이는 KT에 이어 또다시 통신 업계의 보안 관리 실태에 대한 우려를 증폭시키고 있습니다.

21일 국회 과학기술정보방송통신위원회 소속 이해민 의원이 LG유플러스로부터 제출받은 자료에 따르면, LG유플러스 자체 분석 결과 계정 권한 관리 시스템에서 총 8개의 보안 취약점이 발견됐습니다.

이 중에는 모바일 접속 시 숫자 '111111'을 입력하고 특정 메모리 값을 변조하면 시스템에 접근할 수 있는 허술한 인증 방식도 포함된 것으로 파악됐습니다.

또, 웹페이지에는 별도의 인증 절차 없이 관리자 페이지에 접근 가능한 백도어가 존재했으며, 소스코드 내에는 이 백도어 접속 비밀번호와 계정 관리에 필요한 비밀번호가 암호화되지 않은 평문 형태로 노출되어 있었던 것으로 확인됐습니다.

문제의 서버는 국내 보안업체 시큐어키가 개발한 '계정 권한 관리 시스템'으로, 통신 서비스 이용에 필요한 각종 인증을 통합 관리하는 핵심적인 역할을 수행합니다.

앞서 지난 8월, 미국 보안 전문지 '프랙'은 해킹 그룹 '김수키'가 이 시스템을 통해 소스코드를 탈취했으며, 이 과정에서 8000여 대의 서버 정보, 4만여 개의 계정 정보, 그리고 167명의 직원 ID 및 실명 등이 유출됐다고 보도한 바 있습니다.

이해민 의원은 이런 상황에 대해 "8가지 취약점 중 하나만으로도 심각한 문제인데, 이는 사실상 해커를 위한 레드카펫을 깔아둔 수준"이라며 "기술적인 문제 이전에 심각한 보안 불감증이 만연해 있다"고 강하게 비판했습니다.

이 의원은 더 나아가 시큐어키의 해당 프로그램이 LG유플러스 외에도 다수의 기업에서 사용되고 있음을 지적하며, 주무 부처인 과학기술정보통신부의 적극적인 조사와 대응을 촉구했습니다.

 

[ⓒ 알파경제. 무단전재-재배포 금지]