“해킹 아니다”던 LG유플러스, 3개월 뒤 뒤늦은 신고 ‘발칵’

LG유플러스가 내부 계정 관리 서버 해킹 정황을 인지하고도 약 3개월이 지나서야 사이버 보안 당국에 공식 신고한 사실이 드러나면서, 침해사고 신고 의무 위반 및 개인정보 보호조치 의무 위반 등 법적 쟁점이 수면 위로 떠올랐다.

더욱이 해킹 정황 통보 후 관련 서버를 폐기하려 했다는 의혹까지 제기되어 증거인멸 가능성까지 논란이 되고 있다.

올해 국내 통신 3사가 모두 사이버 침해 피해를 당국에 신고한 가운데, 특히 LG유플러스의 이번 사건은 초기 대응과 정보보안 관리체계 전반에 걸친 심각한 문제점을 드러냈다는 비판이 나온다.

사건의 전말: 외주업체 통한 내부망 침투와 '늑장 신고'

이번 해킹 사건은 지난 7월, 한국인터넷진흥원(KISA)이 화이트해커로부터 LG유플러스의 내부자 계정 관리 APPM 서버 해킹 제보를 받으면서 시작됐다.

제보에 따르면 해커 집단은 외주 보안업체 '시큐어키'를 해킹해 얻은 계정 정보를 이용해 LG유플러스 내부망에 침투했다.

이 과정에서 8,938대의 서버 정보와 4만 2,256개의 계정, 그리고 167명의 직원 정보가 빼돌려진 것으로 미국 보안 전문 매체 프랙(Frac)을 통해 보도됐다.

"침해 정황 없다" 통보 후 3개월 만에 신고서 제출

KISA가 7월 해킹 정황을 전달했음에도 LG유플러스는 8월 자체 점검을 벌인 뒤 과학기술정보통신부에 "사이버 침해 정황이 없다"고 통보했다.

그러나 결국 약 3개월이 지난 10월 23일에야 KISA에 서버 해킹 피해와 관련한 신고서를 제출했다.

이러한 늑장 신고 의혹에 더해, LG유플러스가 당국 통보 이후 APPM 관련 서버 OS를 업데이트하거나 해당 서버를 물리적으로 폐기해 해킹 흔적을 지우려 했다는 비판이 국정감사에서 제기되기도 했다.

법적 쟁점 분석: 과태료부터 형사 책임까지

가장 먼저 제기되는 법적 쟁점은 침해사고 신고 의무 위반이다.

정보통신망법 제48조의3 제1항은 정보통신서비스 제공자가 침해사고가 발생하면 즉시 그 사실을 과학기술정보통신부장관이나 KISA에 신고하도록 규정한다.

시행령 제58조의2 제1항은 이를 침해사고 발생을 알게 된 때부터 24시간 이내에 신고하도록 명시한다.

LG유플러스가 KISA의 정황 통보 후 3개월이 지나서야 신고서를 제출한 것은 명백한 24시간 이내 신고 의무 위반으로 보일 여지가 크다.

비록 LG유플러스가 초기에는 침해 사실을 인지하지 못했다고 주장할 가능성이 있지만, KISA로부터 구체적인 제보를 전달받은 시점부터는 침해사고 발생 가능성을 인지했다고 볼 수 있다.

이를 위반할 경우 정보통신망법 제76조 제1항 제6호의6에 따라 3천만원 이하의 과태료가 부과될 수 있다.

서버 폐기 논란, 증거인멸죄 성립 가능할까

국정감사에서 제기된 서버 폐기 및 OS 업데이트를 통한 흔적 지우기 의혹은 증거인멸죄 성립 가능성을 낳는다.

형법 제155조 제1항은 타인의 형사사건 또는 징계사건에 관한 증거를 인멸 등을 한 자를 처벌하지만, 자기 사건에 관한 증거인멸은 원칙적으로 처벌되지 않는다.

다만, 해킹 사건의 경우 해커에 대한 형사사건이 별도로 존재하기 때문에, 서버 폐기 등의 행위가 해커에 대한 수사를 방해할 목적이었다면 증거인멸죄가 성립될 가능성을 배제할 수 없다.

대법원은 증거인멸죄의 증거에 대해 "반드시 그 사건이 이미 계속 중이거나 수사 또는 조사가 개시되었을 것을 요하지 않는다"고 판시한 바 있다.

'외주업체' 시큐어키 통한 유출… 개인정보 안전성 확보 의무 위반 쟁점

해킹이 외주 보안업체인 시큐어키의 계정 정보를 통해 내부망에 침투한 것으로 알려진 만큼, 개인정보 보호조치 의무 위반 및 외주업체 관리 소홀 책임이 핵심 쟁점으로 부각된다.

안전성 확보 의무 위반:

정보통신망법 제28조는 정보통신서비스 제공자에게 개인정보의 안전성 확보에 필요한 기술적·관리적 조치를 취할 의무를 부과한다.

외주업체를 통한 접근 경로에 대한 접근통제 조치 미흡 및 보안관리 부실은 안전성 확보 의무 위반으로 이어질 수 있다.

외주업체 관리·감독 의무 위반 및 사용자 책임:

개인정보 보호법 제26조 제4항에 따라 LG유플러스는 위탁자로서 수탁자(시큐어키)가 개인정보를 안전하게 처리하는지 감독할 의무를 부담한다.

같은 법 제26조 제7항은 수탁자가 법을 위반하여 발생한 손해배상책임에 대해 수탁자를 개인정보처리자의 소속 직원으로 본다고 규정하여, LG유플러스는 시큐어키의 보안 취약점으로 인한 유출에 대해 사용자책임을 질 수 있다.

개인정보 유출 통지 의무 위반:

만약 직원 정보 등 개인정보가 실제로 유출되었다면, 개인정보 보호법 제34조에 따라 LG유플러스는 지체 없이 해당 정보주체들에게 유출 사실을 통지하고 보호위원회에 신고해야 할 의무도 가진다.

향후 전망: 과기정통부 조사와 손해배상 책임

이번 사건은 통신사업자의 서버 및 계정 정보가 대규모로 유출된 사안으로, 과학기술정보통신부는 시정명령이나 민·관합동조사단 구성을 통해 원인 분석 및 대책 마련을 위한 조치를 이행하도록 명령할 수 있다.

LG유플러스는 향후 수사 및 조사를 통해 신고 의무 위반에 대한 과태료 부과, 보호조치 의무 위반에 따른 과징금 또는 형사 처벌 가능성 등을 마주할 수 있다.

또한, 개인정보가 유출된 정보주체들은 LG유플러스를 상대로 민사상 손해배상을 청구할 가능성이 높다.

LG유플러스는 신속한 침해사고 신고체계 확립, 외주업체 관리 강화, 침해사고 탐지 및 대응 능력 향상 등 종합적인 보안 강화 대책을 수립하고 피해 정보주체들에 대한 적절한 보상 방안을 마련해야 할 것으로 보인다.