KT와 LG유플러스가 북한 연계 해커집단에 수개월간 사이버 공격을 받은 정황이 제기됐으나, 정부는 현재 조사 중일 뿐 침해 사실이 확인된 것은 없다고 밝혔다.

2일 과학기술정보통신부는 "KT·LG유플러스 침해 사고 여부 확인을 위해 현장 점검과 자료 제출을 받아 정밀 포렌식 분석을 진행 중"이라며 "실제 침해 사고가 드러날 경우 국민에게 투명하게 공개할 것"이라고 설명했다.

앞서 일부 언론은 정부가 두 통신사 해킹 사실을 잠정 결론 내렸다고 보도했지만, 과기정통부는 사실과 다르다고 선을 그었다.

KT는 "침해사실이 확인된 바 없다"며 "정부 조사에 적극 협조하고 있다"고 전했다. LG유플러스 또한 "조사 진행 중인 사안으로 적극 협조하고 있다"며 "현재까지 특이사항이 없다"고 설명했다.

논란은 글로벌 해킹 전문지 프랙 매거진(Phrack Magazine) 40주년 기념호에 실린 보고서 'APT Down: The North Korea Files'에서 비롯됐다. 익명의 화이트해커 2명이 북한 연계 공격자 'KIM'으로부터 8GB에 달하는 한국 기관·기업 유출 데이터를 확보했다고 제보했으며, 그 목록에 KT와 LG유플러스 관련 자료가 포함돼 있다는 내용이다.

보고서에 따르면 LG유플러스에서는 내부 서버 관리 권한 시스템(APPM) 소스코드와 데이터베이스, 약 8900대 서버 정보, 4만여 개 계정과 직원·협력사 ID 등이 외부로 유출된 것으로 추정된다. 올해 4월까지도 이 정보에 접근한 흔적이 남아 있었다. KT의 경우 SSL 인증서 키가 빠져나간 정황이 발견됐다. 다만 해당 인증서는 현재 만료된 상태다.

피해 정황은 통신사에 국한되지 않는다. 행정안전부의 행정전자서명(GPKI) 인증서, 외교부 내부 메일 서버 소스코드, 통일부·해양수산부의 '온나라' 시스템 소스코드와 내부망 인증 기록 등 일부 정부 부처 자료도 보고서에 포함됐다.

지난달 고려대학교 정보보호대학원에서 열린 보고서 분석 발표회에서도 전문가들은 "국내 다수 정부 부처 및 기업에서 유출된 것으로 추정되는 파일이 발견됐다"며 "실제 공격 성공 여부와 피해 규모 확인을 위해서는 추가 검증이 필요하다"고 밝혔다.

특히 유출된 인증서 파일은 암호화된 상태였으며, 해커가 이를 해제하려는 시도는 있었지만 성공 여부는 확인되지 않았다는 설명이다.

과기정통부와 한국인터넷진흥원(KISA)은 이미 7월부터 조사를 진행 중이다. 그러나 통신사들이 세부 조사에 소극적으로 대응하면서 확인이 늦어지고 있다는 지적도 제기된다. 현행 정보통신망법상 기업이 침해 사실을 자진 신고하지 않으면 정부가 강제 현장 조사를 벌이기 어렵기 때문이다.

류제명 과기정통부 2차관은 지난달 국회 과방위 전체회의에서 "KT와 LG유플러스로부터 자료를 제출받아 직접 확인할 것"이라고 답변했다. 당시 두 회사는 자체 조사 결과 피해가 없다고 보고한 바 있다.

정부는 "현재까지 침해 사고가 확인된 것은 없다"며 "정밀 분석을 통해 사실관계를 규명한 뒤 결과를 공개하겠다"고 거듭 강조했다.