홍범식 LG유플러스 사장이 21일 국회 과학기술정보방송통신위원회 국정감사에 출석해, 최근 제기된 해킹 의혹과 관련해 "한국인터넷진흥원(KISA)에 신고하겠다"고 밝혔다.
앞서 미국 보안 전문지 '프랙'은 LG유플러스의 내부 서버 관리용 계정 권한관리 시스템 소스코드와 데이터베이스, 서버 정보 등이 유출됐다고 보도했다.
LG유플러스는 그동안 "침해 정황은 확인되지 않았고, 정보 유출도 없다"는 입장을 유지해왔다.
이에 대해 이해민 조국혁신당 의원은 "집에 도둑이 들었는데 훔친 물건이 밖에서 발견됐지만, 집에 들어온 흔적이 없다고 하는 격"이라고 비판했다.
이 의원은 LG유플러스가 운용하던 계정권한관리시스템(APPM)에서 다수의 중대 취약점이 확인됐다고 밝혔다. 모바일 2차 인증을 특정 숫자·메모리 변조로 우회 가능한 결함, 별도 인증 없이 관리자 페이지 접근 가능한 백도어, 소스코드 내 평문 비밀번호·암호키 노출 등 8건이다. 단일 취약점만으로도 원격 권한탈취·내부망 침투가 가능하다는 게 이 의원 설명이다.
이에 홍 사장은 "사실관계를 재점검하고 관계 기관 조사에 협조하겠다"고 했다.