미국 보안매체 '프랙'의 폭로로 촉발된 국내 통신업계 해킹 논란에서 당사자인 KT와 LG유플러스는 여전히 '피해 없음' 입장을 유지하고 있지만, 실제 공격 대상이 된 보안 협력업체는 정부기관에 침해사실을 신고한 것으로 밝혀졌다.

국회 과학기술정보방송통신위원회 박충권 국민의힘 의원실이 한국인터넷진흥원으로부터 입수한 자료에 따르면, LG유플러스의 서버 관리 업무를 담당하는 외주업체 시큐어키가 지난 7월 31일 시스템 침해사고를 신고했으며, KISA는 익일 기술지원에 나선 것으로 파악됐다.

프랙이 공개한 내용을 보면, 공격자들은 시큐어키의 시스템을 먼저 뚫어 획득한 접근권한으로 LG유플러스 내부망에 침투했으며, 이 과정에서 서버 8천938대의 정보와 계정 4만2천526개, 임직원 167명의 개인정보를 탈취했다고 알려졌다.

그러나 LG유플러스 측은 "협력사를 통해 노출된 계정정보로는 자사 시스템 침입 흔적을 확인할 수 없었다"며 "비밀번호가 단방향 암호화 처리돼 있어 해독이 불가능하다"는 이유로 침해신고를 하지 않았다고 해명했다.

KISA는 앞서 7월 19일 화이트해커의 제보를 받고 LG유플러스와 KT, 시큐어키 등에 침해사고 신고를 권고했으나, 통신사 두 곳은 이를 거부했고 시큐어키만이 요청에 응했다. 특히 KISA가 지난달 22일 유출 자료가 실제 데이터와 일치한다는 근거를 제시하며 다시 한 번 신고를 촉구했지만 통신사들은 여전히 응하지 않은 상황이다.

이런 상황은 현재 법체계의 한계를 보여주는 사례로 지적되고 있다. 현행 정보통신망법은 기업의 자발적 신고가 있어야만 정부가 본격적인 조사에 착수할 수 있도록 규정하고 있어, 당사자가 거부할 경우 신속한 대응이 어렵다는 것이다. 반면 개인정보보호법은 위반 의심 상황이나 사고 발생 가능성이 높은 경우에도 직권조사를 허용하고 있어 조사권한에 차이가 있다.

실제로 개인정보보호위원회는 지난 10일 기업의 신고 없이도 시민단체 민원과 소액결제 피해자 신고를 근거로 두 통신사에 대한 개인정보 유출 조사를 시작했다.

이번 사태를 계기로 이재명 대통령도 직접 나서 강력한 대책 마련을 지시했다. 대통령은 "보안사고를 되풀이하는 기업들에게는 징벌적 과징금을 포함한 엄중한 조치를 취하라"고 주문하며, 일부 업체들의 안일한 보안 인식을 질타했다.

정치권에서도 관련 법령 개정 논의가 활발해지고 있다. 정부의 조사권한을 확대하고 통신사업자의 해킹 신고 의무를 강화하는 내용의 법안들이 국회에 여러 건 제출된 상태다.

박충권 의원은 "기업들이 자진신고를 기피할 때 정부와 전문기관이 즉각 대응하지 못하는 제도적 맹점이 이번에 여실히 드러났다"며 "국민 재산피해와 직결되는 문제인 만큼 철저한 진상조사와 함께 재발방지를 위한 법제도 정비가 반드시 필요하다"고 강조했다.