해킹 그룹 '랩서스(LAPSUS$)'로부터 공격을 받아 유출된 LG전자 내부 데이터 중 임직원들의 비밀번호도 포함됐다는 주장이 나왔다. 하지만 랩서스 측이 주장한 비밀번호로는 현재 로그인이 불가능한 것으로 확인됐다.

24일 업계에 따르면 지난 22일 랩서스는 자신들의 텔레그램 계정을 통해 LG전자를 해킹해 임직원과 서비스 계정의 해시값이 담긴 리스트를 탈취했다고 주장했다. 동시에 'LGE-Hashes.txt'라는 파일을 올리고, LG 내부 구조 및 시스템 구성과 관련된 정보를 유출하겠다고 예고했다. 해당 파일은 9만명의 영문 이름과 함께 일부가 암호화된 상태였다.

랩서스는 같은 날 이를 해독한 파일을 별도의 채팅방에 공개했다. 이 해독본에는 'lge.com-직원ID-비밀번호' 형식으로 구성된 6만1924개 데이터가 포함돼있다. 이 중 현재 해독된 데이터는 4만개다.

LG전자는 확인 결과 자사 임직원 일부 이메일 주소만 유출된 것으로 추정하고 있다. 랩서스가 주장한 비밀번호는 접속이 불가능한 '허수'라 개인정보 유출이 아니라는 설명이다.

LG전자 관계자는 "랩서스가 비밀번호라 주장하는 데이터 중 초기 비밀번호(lge123)나 연속되는 수, 같은 수가 반복되는 비밀번호(123456, 222222, 777777 등)는 보안 상 등록조차 불가능하다"며 "비밀번호를 정기적으로 바꾸고 있을 뿐만 아니라, 디지털 일회용비밀번호생성기(OTP) 및 지문인식 등으로 이중, 삼중 보안을 구현하고 있어 실질적인 피해는 없다"고 말했다.

현재 이 사건은 신고를 접수한 한국인터넷진흥원(KISA)이 조사 중이다. KISA 관계자는 "침해사고 신고는 지난 22일에 접수됐다"며 "전날 오전에 현장조사를 나갔고, 현재 조사를 진행하고 있다"고 말했다.

개인정보보호위원회 관계자는 "현재까지 따로 접수된 신고는 없다"고 말했다.

김가은 기자 7rsilver@techm.kr