LG유플러스는 이 같은 오해를 해소하기 위해 포렌식용 이미지 자료를 제출했지만, 액티브(Active) 서버와 스탠바이(Standby) 서버의 이미지 생성 시점이 달라 의혹은 완전히 해소되지 않았다. 액티브 서버는 실제 서비스를 운영 중인 메인 서버이며, 스탠바이 서버는 장애 발생 시를 대비해 대기하는 백업 서버다.
|
국회 과학기술정보방송통신위원회 최민희 위원장에 따르면, 지난 7월 18일 화이트해커가 KT와 LG유플러스의 해킹 정황을 제보했다.
이후 한국인터넷진흥원(KISA)은 두 통신사에 자체 점검을 요청했고, 과학기술정보통신부는 8월 11일 LG유플러스에 공식 점검 결과 제출을 요구했다.
하지만 LG유플러스는 요청 다음 날인 8월 12일 APPM 서버의 운영체제를 재설치한 뒤, 8월 13일 “침해 흔적 없음”이라는 결과를 보고했다.
이에 대해 최 위원장은 “OS 재설치는 서버 기록을 덮어써 포렌식 분석을 어렵게 만드는 조치”라며 의도적 증거 삭제 가능성을 제기했다.
앞서 이데일리는 8월 10일 미국 보안전문잡지 ‘프랙(Phrack)’ 40주년 기념호를 인용해 “LG유플러스의 경우 보안 솔루션 제공업체가 해킹당한 뒤 내부 침입이 이뤄진 것으로 알려졌다”고 보도했다. 당시 LG유플러스는 “어떠한 침해 흔적도 없었으며 모든 서버의 패스워드를 변경했다”고 밝힌 바 있다.
|
하지만, 고려대 정보보호대학원, 과기정통부, KISA는 이후 LG유플러스가 해킹당한 것으로 잠정 결론을 내렸다.
조사 과정에서 LG유플러스는 서버 계정 권한 관리 시스템(APPM)의 액티브 서버와 스탠바이 서버의 포렌식용 이미지를 제출했다.
두 서버가 실시간 동기화 구조였던 만큼, 회사는 두 서버가 동일한 데이터를 가진다고 판단해 액티브 서버 이미지를 먼저 제출했다.
이후 “스탠바이 서버에서도 관련 로그가 있을 수 있다”는 지적이 제기되자 추가 이미지를 제출했다.
그러나 스탠바이 서버는 이미 OS 재설치 및 일부 정비가 이뤄진 상태였으며, 결국 재설치 이전 버전은 제출되지 못했다. 이로 인해 “최초 상태가 아닌 조정된 버전이 포렌식용 자료로 제출된 것 아니냐”는 의혹이 제기됐다.
LG유플러스는 “두 서버가 동일하다는 전제를 기반으로 순차 제출했을 뿐 의도적 은폐는 아니다”라며 “조사 중인 사안인 만큼 성실하게 임하겠다”고 밝혔다.
전문가들 “OS 재설치 후 포렌식은 오해 불가피”
정보보안 전문가들은 운영체제(OS) 재설치가 사실상 ‘포맷’에 준한다는 점에서, “보안 점검 요구 직후 OS를 새로 설치하고 이를 포렌식 이미지로 제출하는 방식은 증거 은폐 논란을 피하기 어렵다”고 지적한다.
해킹이 의심되는 시스템은 원본 이미지를 우선 보존한 뒤 정비하는 것이 디지털 포렌식의 원칙이기 때문이다.
“또 은폐 논란”…KT·온나라시스템 사례와 겹치며 불신 확대
최근 유사한 사례로 정부가 공무원 결재시스템인 온나라시스템 해킹 사실을 3개월 뒤에야 인정하고, KT 해킹 의혹 역시 입장 번복 논란을 겪은 바 있다.
이번 LG유플러스 사례 역시 ‘사고 발생 → 자체 점검 명목의 데이터 정리 → 해킹 부인 → 뒤늦은 조사기관 개입’이라는 축소·은폐 논란의 흐름이 반복되는 것 아니냐는 우려가 나온다.
과기정통부는 OS 재설치 시점과 자료 폐기 여부 등을 조사한 뒤 수사 의뢰 여부를 판단할 계획으로 전해졌다. 이번 사건이 단순한 절차상 오해로 마무리될지, 아니면 통신사 해킹 대응 체계 전반에 대한 신뢰 문제로 확산될지 주목된다.
!['190억 펜트하우스' 장동건♡고소영의 집 내부 어떤가 봤더니…[누구집]](https://image.edaily.co.kr/images/vision/files/NP/S/2026/03/PS26030800090t.jpg)
!['720만원 복지비' 2주 휴식에 최신장비도 지원하는 이 회사[복지좋소]](https://image.edaily.co.kr/images/vision/files/NP/S/2026/03/PS26030800141t.jpg)