LG유플러스 KISA 신고 전환, 공공부문 침해 대응은 여전히 ‘조사 중’

 

LG유플러스 KISA 신고 전환, 공공부문 침해 대응은 여전히 ‘조사 중’

국회 국정감사장에서 LG유플러스가 보안 의혹 해소를 위해 KISA(한국인터넷진흥원) 신고 절차를 따르겠다고 선회했다. 자체 조사로 “침해 흔적 없음”을 주장하던 기조에서, 정부 검증을 받겠다는 입장으로 바뀐 것이다.

한편 최근 정부는 공무원 업무망 온나라시스템이 2022년 9월부터 2025년 7월까지 약 3년간 무단 접속을 당했다고 공식 확인했다. 그러나 공공기관 침해에 대해서는 여전히 “조사 중”과 “점검 강화”만 반복되고 있어 비판이 제기되고 있다.

민간은 신고 압박, 공공은 ‘조사 중’ 반복

홍범식 LG유플러스 대표는 10월 21일 과방위 국감에서 “혼란과 오해 해소 차원에서 KISA에 신고하겠다”고 밝혔다. 앞서 회사는 APPM(계정권한관리) 시스템 관련 의혹에 대해 “침해 사실 없음”을 주장했으나, 국회 질의와 여론 압박 속에 민관합동조사단 검증을 수용하는 흐름이다.

이해민 의원실은 LG유플러스 APPM에서 8건의 중대 취약점을 제시하며 “원격 권한 탈취 및 내부망 침투가 가능한 수준”이라고 지적했다. 또한 일부 서버 재설치·폐기 정황도 확인돼 포렌식 무결성 훼손 가능성에 대한 추가 검증이 필요하다는 요구가 나왔다.

의혹의 발단은 8월 공개된 해킹 전문지 ‘프랙(Phrack)’ 보고서였다. 해당 보고서에는 LG유플러스 관련 서버 목록과 계정 정보 등이 포함되어 있었으며, 이후 정부는 사업자 자체 점검 후 공식 조치 절차로 전환했다.

공공부문 침해, 여전히 책임 공백

10월 17일 정부는 공공업무망 온나라시스템의 무단 접속 사실을 발표했다. 해커는 행정전자서명(GPKI) 인증서 6개와 6개 IP를 이용해 G-VPN으로 합법 사용자로 위장했고, 일부 부처 전용 시스템 접근도 확인됐다. 정부는 IP 차단, 인증서 폐기 등 긴급 조치를 시행했으나, 피해 규모·가해자 정보는 공개하지 않았다.

핵심 쟁점은 타임라인과 책임성이다. 8월 프랙 발표 이후 두 달이 지나서야 정부가 무단 접속 사실을 인정했고, 이후에도 “점검·대책 마련” 중심의 메시지만 이어지고 있다. 관리 부주의 여부나 관련자 문책 계획은 여전히 공개되지 않았다.

이중잣대 논란…동일 위험엔 동일 기준 적용해야

민간 기업 사건은 과징금과 제재, 공표 조치로 이어지는 반면, 공공기관 사건은 ‘점검·교육·개선’ 중심의 조치에 머무는 경우가 많다. 이번 사건 역시 공공기관의 내부 통제, 감사, 징계 등 책임 구조가 비어 있다는 지적이 잇따른다.

전문가들은 “개인정보보호법상 공공과 민간 모두 ‘개인정보처리자’로 동일하게 취급받는다”며 “동일 위험에 동일한 제재와 책임 기준이 적용되어야 신뢰가 유지된다”고 강조했다.

같은 침해, 다른 잣대는 신뢰를 무너뜨린다. 정부는 공공부문부터 사건의 전모와 책임, 문책 방안을 투명하게 공개하고, 민간과 동일한 기준으로 대응해야 한다. 그것이 디지털 행정의 신뢰 회복의 출발점이다.

반응형