“국가기간망도 노렸나” KT·LGU+ 해킹 의혹… 정부, 서버 포렌식 돌입

1. 무엇이 문제인가

KT와 LG유플러스 관련 시스템에서 외부 침입이 의심되는 정황이 제기됐다. 보안 전문 매체로 알려진 ‘프랙(Prack)’이 지난달 공개한 분석에서, 북한 연계 조직 ‘김수키’의 활동을 추적하는 과정에서 두 통신사 서버로 추정되는 데이터 흔적이 등장했다고 했다. 이를 근거로 국회 측과 보안 기관에 제보가 접수됐고, 정부는 즉시 사실관계를 확인하기로 했다.

국회 더불어민주당 최민희 의원실은 “익명의 화이트해커가 한 달여 전 국정원·KISA에 내용을 전달했고, 실사에 착수했다”고 전했다. 제보 요지는 간단치 않다. KT에서는 인증서와 개인키가 반출됐다는 주장이고, LG유플러스에서는 서버 식별 정보 8,938대, 계정 42,526개, 직원 167명 관련 항목이 외부에 노출됐을 가능성이 있다는 것이다.

2. 당사자들의 해명과 정부의 접근

양사는 우선 “침해 징후가 확인되지 않았다”는 입장을 내놨다. 특히 KT의 경우 문제로 지목된 인증서 중 유출 당시에는 유효했지만 현재는 만료된 상태라는 설명을 덧붙였다. 반면 정부는 “현장 점검과 원본 확보를 마치고, 포렌식으로 비인가 접근 흔적이 삭제됐더라도 재구성해 검증하겠다”고 밝혔다.

과학기술정보통신부는 이번 사안을 단순 해프닝으로 보지 않는다. 통신사 내부 시스템만이 아니라 협력사 경유, 외부 관리망, 백업 경로 등 다중 유출 벡터를 상정해 조사 중이다. 당국 관계자는 “통신사 서버에서 직접 빠져나갔는지, 제3의 경로를 통해 수집됐는지 단정하기 이른 만큼 정밀 포렌식 결과를 지켜봐야 한다”고 했다.

핵심 포인트 한눈에

• 의혹 제기 — 프랙 보고서: 김수키 활동 추적 중 KT·LGU+ 관련 데이터 발견 주장

• 제보·초동 — 익명 화이트해커 제보 → 국정원·KISA 사실조사 착수

• 노출 주장 — KT 인증서·개인키, LGU+ 서버 8,938·계정 42,526·직원 167 항목

• 회사 입장 — “침해사고 흔적 없음”… KT 인증서는 현재 만료

• 정부 조치 — 현장 점검 + 포렌식으로 비인가 접속·경로 추적

• 향후 — 결과는 1~2개월 내 도출 전망, 확인 시 투명 공개

분석: “성공적 방어”와 “조용한 유출” 사이

이번 건은 두 개의 서사가 충돌한다. 기업은 가시적 침해 증거 부재를 강조하고, 제보자는 구체적 지표를 제시한다. 현실의 해킹은 창문을 깨는 소리 없이도 일어난다. 예컨대 만료된 인증서라 해도 사용 시점에 유효했다면 과거 세션 복제를 통한 악용 가능성은 배제 못 한다. 반대로 외부 수집 데이터가 오래된 테스트 환경에서 나온 것일 수도 있다. 결론을 가르는 건 결국 타임라인 복원과 로그 상관 분석이다.

국가기간 통신 인프라는 그 자체가 고가치 표적이다. 공격자는 프런트 도어 대신 협력사 원격관리, 백업 어플라언스, 모니터링 콘솔 같은 측면을 찌른다. 당국이 범위를 넓혀 서드파티와 외주망까지 살피는 이유다. 이번 조사에서 계정·권한 관리 취약점이나 키 보관 절차가 드러난다면, 통신사 전반의 보안 거버넌스에도 손질이 불가피하다.

독자 안내: 지금 할 수 있는 보안 점검

기업·기관은 SSH·VPN 키 롤테이션, 구형 인증서 폐기, MFA 의무화, 관리자 계정 분리를 즉시 재점검할 필요가 있다. 개인 이용자는 통신사 계정 비밀번호 변경, 동일 비밀번호 재사용 금지, 알 수 없는 로그인 알림 확인 등 기본 수칙을 점검하자. 보안은 한 번의 대책이 아니라 지속적 관리로 완성된다.

전망

과기정통부는 조사를 최근 개시했으며, 1~2개월 내 결과를 내고 확인 시 공개하겠다고 밝혔다. 결론이 어느 쪽이든, 이번 이슈는 대형 통신사가 공급망·인증 체계를 어떻게 관리해야 하는지, 그리고 위협 인텔리전스를 어떻게 운영 프로세스에 반영할지 묻는 시험대가 될 전망이다.