해킹 통보 후 핵심 서버 폐기…경찰 수사로 번진 증거 인멸 논란
1000억 보안 투자 무색, 고객 신고로 뒤늦게 사고 파악
 |
| 사진은 7일 서울 용산구 LG유플러스 본사와 익시오 통화 앱. (사진=연합뉴스) |
[알파경제=이준현 기자] 2023년 대규모 개인정보 유출 사태 직후 '보안 최우선'을 앞세웠던 LG유플러스의 약속이 무색해지고 있다. 올해에만 벌써 세 차례나 보안 사고가 발생하며 시장의 신뢰가 흔들리고 있다.
특히 야심 차게 선보인 AI 통화 비서 '익시오'의 정보 유출 사고와 해킹 의심 서버에 대한 증거 인멸 의혹이 동시에 불거지면서, 주무 부처인 과학기술정보통신부가 경찰에 수사를 의뢰하는 초유의 사태로 번졌다.
◇ 익시오 사태, '온디바이스 AI' 마케팅의 배신
18일 업계에 따르면 LG유플러스는 지난 2일 오후 8시부터 3일 오전 10시59분 사이 익시오 서비스에서 가입자 36명의 통화 정보가 다른 이용자 101명에게 노출되는 사고가 발생했다고 6일 개인정보보호위원회에 자진 신고했다.
유출된 정보에는 통화 상대방의 전화번호, 시각, 통화 내용 요약 등 민감한 개인정보가 포함됐다. 해당 시간대 익시오를 설치한 이용자들은 일면식도 없는 타인의 통화 기록을 자신의 화면에서 고스란히 확인하는 황당한 경험을 해야 했다.
LG유플러스 측은 "서비스 운영 개선 중 발생한 캐시(임시 저장 공간) 설정 오류"라고 해명했다. 서버 속도 개선 작업 중 직원의 설정 실수로 A 고객의 요청에 B 고객의 데이터를 반환하는 '세션 크로스' 현상이 빚어졌다는 설명이다.
문제는 LG유플러스가 그동안 익시오를 '온디바이스 AI'로 대대적으로 홍보해 왔다는 점이다. 온디바이스 AI는 데이터 처리가 단말기 내부에서 완결되어 서버 전송 없이 안전하다는 것이 핵심 마케팅 포인트였다.
그러나 이번 사고로 LG유플러스가 통화 녹음 파일은 단말에 저장했지만, 텍스트로 변환된 통화 요약본과 메타데이터는 서버에 전송해 6개월간 보관했던 사실이 드러났다.
LG유플러스 관계자는 "기기 변경 시 데이터 연동 등 서비스 편의성을 위해 서버에 암호화해 보관했다"고 해명했지만, 암호화된 데이터도 내부 작업 과정에서는 복호화돼 노출됐다는 점에서 보안 설계의 근본적 결함이 지적된다.
더욱이 LG유플러스의 자체 보안 모니터링 시스템이 전혀 작동하지 않았다는 점에서도 충격을 줬다. 고객이 "앱에서 다른 사람의 통화 기록이 보인다"고 신고한 후에야 회사가 문제를 인지했다.
 |
| (사진=연합뉴스) |
◇ 증거 인멸 의혹, 경찰 수사로 번진 APPM 서버 폐기
과기정통부는 지난 10일, 해킹 의혹이 제기된 핵심 서버를 LG유플러스가 폐기한 정황을 포착하고 경찰에 수사를 의뢰했다.
과기정통부와 한국인터넷진흥원(KISA)은 지난 7월 19일, 일명 '서버의 마스터키'로 불리는 계정 권한 관리 시스템(APPM)에서 해킹 정황을 발견하고 사측에 점검을 요구했다.
하지만 LG유플러스는 정부 통보 불과 12일 만인 7월 31일, 해당 서버 1대를 물리적으로 폐기했다. 이어 8월 12일에는 남은 서버의 운영체제(OS)마저 재설치했다.
OS를 재설치하면 기존 로그 데이터, 레지스트리 기록, 공격자가 남긴 흔적이 모두 덮어씌워져 디지털 포렌식이 사실상 불가능해진다.
과기정통부 관계자는 "서버 2대가 모두 존재해야 정확한 분석이 가능한데 이미 폐기된 상황"이라고 밝혔다.
LG유플러스는 "해당 서버 폐기는 지난해 2월 신규 시스템 재구축에 따른 사전 계획된 작업"이라며 "작업 전후 이미징을 떠서 KISA에 제출했다"고 해명했다.
그러나 국회 과학기술정보방송통신위원회 이해민 조국혁신당 의원은 "포맷 이후 제출된 데이터의 무결성을 누가 보장하느냐"고 비판했다.
지난 8월 미국 보안 전문지 '프랙'은 LG유플러스 APPM에서 8900여 개 서버 정보와 4만2000여 개 계정 정보가 유출됐다는 의혹을 제기한 바 있다.
LG유플러스는 "침해 사고 흔적이 없다"고 부인했지만, 해킹 답변 전날 서버 OS를 재설치한 것으로 드러나 의혹이 증폭됐다.
과기정통부 민관합동조사단은 LG유플러스가 증거 인멸을 위해 고의적으로 서버를 폐기했을 가능성을 배제할 수 없다고 판단해 경찰청 사이버테러대응과에 수사를 요청했다.
엎친 데 덮친 격으로 최근 중국 보안 업체 '노운섹'이 해킹되면서 LG유플러스의 3TB 규모 통화 기록이 유출됐다는 의혹까지 제기됐다.
LG유플러스 측은 데이터의 진위가 불분명하다는 입장이지만, 끊이지 않고 터져 나오는 대규모 유출설은 이용자들의 불안감을 극도로 자극하고 있다.
 |
| 서울 용산구 LG유플러스 본사. (사진=연합뉴스) |
◇ 1000억 투자는 어디로, 반복되는 보안 불감증
LG유플러스는 2023년 29만7000여 명의 개인정보 유출 사고 이후 "연간 1000억 원 수준의 정보보호 투자를 집행하겠다"고 약속했다.
하지만 익시오 사태에서 드러난 기초적인 '설정 오류'는 최신 장비의 부재가 아닌, 개발 프로세스와 품질 관리 시스템의 부실함을 방증한다.
사고 당일 일선 영업점에서 이미지 타격을 무마하기 위해 평소보다 높은 판매 지원금을 살포했다는 의혹까지 제기되며 도덕적 해이 논란도 일고 있다.
한 보안 전문가는 "일개 직원의 실수가 곧바로 보안 사고로 이어진다는 것 자체가 말이 안 된다"며 "보안 조직의 권한 강화와 내부 통제 시스템 재정비가 시급하다"고 말했다.
LG유플러스는 현재 경찰 수사와 개인정보보호위원회 조사를 동시에 받고 있다.
알파경제 이준현 기자(wtcloud83@alphabiz.co.kr)
