2025.04.?? LG유플러스 해킹 사고

1. 개요

• 2025년 4월경 북한 해킹 조직 '김수키(Kimsuky)'로 추정되는 공격자가 LG유플러스의 계정 권한 관리 시스템(APPM, Account Privilege and Password Management)을 침해한 것으로 확인되었습니다. 
• 이 사건은 7월 한국인터넷진흥원(KISA)이 익명의 화이트해커로부터 제보를 받으면서 공식적으로 알려졌으며, 8월 미국 해킹 전문지 '프랙(Phrack)'이 관련 내용을 공개하면서 논란이 확대되었습니다. 
• LG유플러스는 당초 "침해 사실이 없다"며 신고를 거부하다가 10월 국회 국정감사에서 여론의 압박을 받은 후에야 KISA에 해킹 피해를 신고하겠다고 입장을 변경했습니다.​

 

2. 피해범위

• APPM 솔루션의 소스코드와 데이터베이스가 유출되면서 서버 약 8,938대의 정보, 계정 42,526개, LG유플러스 및 협력사 직원 167명의 실명과 ID가 외부로 유출된 것으로 파악되었습니다. 
• 해커의 접근 기록은 2025년 4월 16일까지 확인되었습니다. 
• APPM 시스템은 LG유플러스 부가 서비스 제공 과정에서 고객 인증과 가입·해지 기능을 제공하는 핵심 시스템으로, 여기가 뚫릴 경우 전산망 전체가 해커에게 장악될 수 있는 치명적인 취약점이었습니다.​

 

3. 유출항목

 - 주요 유출 항목

• 서버 IP 주소 및 시스템 정보 약 8,938대
• 계정 정보 42,526개
• 직원 및 협력사 인력 167명의 실명, ID, 패스워드
• APPM 시스템의 소스코드 전체
• 데이터베이스 접근 정보​

 

 - 참고로, 본 사건과는 별개로 LG유플러스는 2018년 발생한 고객정보 유출 사고로 2023년 개인정보보호위원회로부터 과징금 68억원을 부과받은 바 있습니다. 당시에는 고객 약 29만7천명의 휴대전화번호, 이름, 주소, 생년월일 등 26개 항목이 유출되었습니다.​​

4. 원인

 - 심각한 보안 취약점

• LG유플러스가 자체 분석한 결과, APPM 시스템에서 8개의 치명적인 보안 취약점이 확인되었습니다.
• 2차 인증 우회: 모바일 접속 시 숫자 '111111'(1을 6번)만 입력하고 특정 메모리 값을 변조하면 2차 인증을 통과할 수 있었습니다​.
• 백도어 존재: 웹페이지에 별도 인증 없이 관리자 페이지에 접근할 수 있는 백도어가 있었고, 소스코드에는 백도어 접속용 비밀번호 3자리가 평문으로 노출되어 있었습니다​.
• 암호화 부재: 계정 관리에 필요한 비밀번호와 암호화 키가 암호화되지 않은 채 소스코드에 평문으로 노출되어 있었습니다​.

 

 - 보안 솔루션 공급망 공격

• 공격자는 LG유플러스에 보안 솔루션을 제공하는 외부 업체 '시큐어키(SecureKey)'를 먼저 해킹한 후, 이를 통해 LG유플러스 내부망에 침투한 것으로 추정되었습니다.​

 

 - 보안 인프라 미비

• 기본적인 침입차단시스템(방화벽), 침입방지 시스템, 웹방화벽 등 보안 장비가 설치되지 않았거나 보안 정책이 제대로 적용되지 않은 상태였습니다.​​

 

5. 대응

 - 초기 대응 지연 및 신고 거부

• 2025년 7월 18일: KISA가 해킹 정황을 LG유플러스에 통보하고 자체 점검 요구​
• 2025년 7월: 국정원도 유사한 해킹 정황을 인지하고 LG유플러스에 공유​​
• 2025년 8월 11일: 과기정통부가 자체 조사 결과 제출 요구​
• 2025년 8월 12일: LG유플러스가 APPM 관련 서버의 운영체제(OS)를 재설치​
• 2025년 8월 13일: LG유플러스가 과기정통부에 "침해사고 흔적 없음"으로 보고​
• 2025년 8월 22일: 과기정통부와 KISA가 LG유플러스가 침해당했다고 잠정 결론​
• 2025년 9월 10일: 개인정보보호위원회가 공식 조사 개시​
• 2025년 10월 21일: 국회 국정감사에서 홍범식 대표가 KISA에 해킹 피해 신고 의사 표명​

 

 - 서버 운영체제 재설치 논란

• LG유플러스는 과기정통부의 조사 결과 제출 요구 직후인 8월 12일 APPM 관련 서버의 운영체제를 재설치했습니다. 
• OS 업데이트는 기존 서버에 덮어씌우는 방식이어서 포렌식 분석을 매우 어렵거나 사실상 불가능하게 만들었습니다. 
• 이후 LG유플러스가 KISA에 제출한 스탠바이 서버 이미지 자료도 OS 업데이트 이후의 것이어서 이전 데이터 기록이 포함되지 않았습니다.​

 

 - 뒤늦은 신고 결정

• LG유플러스는 당초 "침해 사실이 확인되지 않았다"며 KISA 신고를 거부하다가, 국회 국정감사에서 집중 추궁을 받은 후 10월 21일에야 "관련 부처와 협의해 추가 절차를 밟겠다"고 입장을 변경했습니다.​

 

6. 문제점
 - 심각한 보안 불감증

• 2차 인증을 '111111' 입력만으로 우회할 수 있었고, 백도어 비밀번호가 소스코드에 평문으로 노출되어 있는 등 기초적인 보안 원칙조차 지켜지지 않았습니다​
• 국회 이해민 의원은 "금고 바깥에 비밀번호를 써서 쪽지로 붙여 놓은 것과 같다", "해커를 위한 레드카펫을 깔아둔 수준"이라고 비판했습니다​

 

 - 증거 인멸 의혹

• 해킹 의혹 통보 직후 서버 OS를 재설치하여 포렌식 조사를 불가능하게 만들었다는 증거 인멸 의혹이 제기되었습니다​
• 과기정통부는 LG유플러스의 자료 폐기 정황을 근거로 수사기관 의뢰를 검토 중입니다​

 

 - 신고 지연 및 은폐 시도

• KISA와 국정원이 7월부터 해킹 정황을 통보했음에도 불구하고 LG유플러스는 3개월 넘게 신고를 거부하며 "침해 사실이 없다"고 주장했습니다​​
• 현행 정보통신망법상 자진신고가 없으면 정부의 강제 현장조사나 민관합동조사단 구성이 불가능하여 조사가 지연되었습니다​

 

 - 반복되는 보안 사고

• LG유플러스는 2018년 고객정보 29만7천명 유출 사고로 2023년 과징금 68억원을 부과받았으나, 2025년에도 유사한 보안 부실 사태가 재발했습니다​​
• KT의 서버 폐기 의혹을 보고도 같은 방식으로 대응하여 비판을 받았습니다​

 

 - 공급망 보안 취약

• 동일한 APPM 솔루션을 사용하는 다수 기업으로 피해가 확산될 우려가 제기되었으며, 과기정통부와 KISA의 민관합동조사단 수준의 전수조사 필요성이 대두되었습니다​

 - 이 사건은 단순한 해킹 피해를 넘어 국내 통신 산업의 구조적 보안 리스크와 사고 대응 체계의 문제점을 드러낸 사례로 평가받고 있다.​