3년 전 SKT에 침입 성공한 해커…무엇 노렸을까

[서울=뉴시스]송혜리 심지혜 박은비 기자 = SK텔레콤이 가입자 유심 정보 등이 담겨있는 주요 서버에 누군가 해킹 프로그램을 설치했음에도 지난 3년간 그 사실을 몰랐던 것으로 드러났다. 해커는 최소 3년간 SK텔레콤 시스템에 잠입해 주요 가입자 정보 탈취를 노렸다는 얘기다.

해커가 몰래 악성코드를 깔아놓은 서버는 복제폰 제작에 악용되는 단말기고유식별번호(IEMI)와 이름, 생년월일, 전화번호, 이메일 등 다수의 가입자 신상정보를 임시 저장하는 곳. 해커의 로그기록(서버 접속기록)이 남아있는 최근에는 해당 서버에서 정보 유출이 없었던 것으로 정부 민관합동조사단은 파악하고 있지만, 침입 성공 이후 일정 기간 로그 기록이 없어 그 사이 IMEI 정보가 외부 유출됐을 가능성을 배제할 수 없다는 것이 보안 전문가들의 분석이다.

익명을 요청한 한 보안 전문가는 "이번 SK텔레콤 사고는 단발성·일회성 해킹보다는 장기간에 걸쳐 은밀하고 치밀하게 준비한 APT(advanced persistent threat; 지능형지속공격)에 당한 것"이라며 "이에 대한 대응체계가 부실했던 것으로 보인다"고 지적했다.

19일 SK텔레콤 침해사고 민관합동조사단(이하 조사단)은 SK텔레콤의 리눅스 서버 약 3만여대에 대해 4차례 점검을 진행했고 이를 통해 총 23대의 서버가 악성코드에 감염됐음을 확인했다.


시스템 내부에서 주요 정보를 빼내는 데는 BPF도어 프로그램을 썼고, 서버에 침투할 때는 웹셸 악성코드를 사용했다.

BPF도어 프로그램은 일종의 백도어다. 시스템이나 네트워크에 몰래 접근할 수 있도록 만든 비밀 통로를 의미한다. BPF도어 악성코드는 특정한 신호(매직 패킷)를 받아야 활성화되기 때문에, 일반적인 보안 시스템으로는 탐지하기 어렵다. 일단 활성화되면 해커가 서버에 몰래 접속해 명령을 실행하거나 내부 정보를 훔치는 등 다양한 공격이 가능하다.

웹셸은 해커가 웹에 몰래 설치하는 악성 명령어(스크립트) 파일이다. 이를 통해 해커는 웹 브라우저만으로도 서버를 원격 조작할 수 있다. 쉽게 말해 '웹사이트라는 집에 몰래 설치된 창문' 같은 것으로 겉보기엔 멀쩡하지만 해커는 그 창문을 통해 언제든 들어와 집안을 뒤지고 훔칠 수 있게 되는 셈이다.

이동근 한국인터넷진흥원(KISA)디지털위협대응본부장은 "웹셸이 최초 감염 시점하고 연관돼 있는 부분이 있다"면서 "최초 설치됐던 게 웹셸이 설치되고 그 이후에 BPF도어 악성코드가 설치되는 시간 순서로 돼 있기 때문에 웹셸이 조사 과정 중에 최초, 언제 감염됐는지 시점을 알려주는 중요한 요소로 작용했다"고 말했다.

서버 군데군데 몰래 설치한 악성코드들로 유출된 유심 정보는 가입자식별번호(IMSI) 기준 2695만7749건. 사실상 모든 가입자의 유심정보를 빼낸 셈이다. 다만 복제폰 제작에 필수적으로 악용되는 IMEI 정보와 신상정보가 빠져나간 흔적은 아직 발견하지 못했다는 게 민관 합동조사단의 설명이다.


이번에 추가로 밝혀진 건 해커의 최초 침투 시점이다. 민관합동조사단은 2차례에 걸친 정밀 조사결과, 통합고객인증서버와 연동되는 2대의 서버에 설치된 악성코드의 설치 시점을 확인해보니 2022년 6월인 것으로 밝혀졌다. 3년 전에 이미 SK텔레콤 서버에 침투했다는 얘기다.

이 악성코드가 발견된 서버는 고객 인증을 목적으로 호출된 IMEI 정보와 다수의 개인정보(이름, 생년월일, 전화번호, 이메일 등)가 임시 저장되는 곳. 다만, 방화벽 로그기록이 남아 있는 지난해 12월부터 올해 4월24일까지 자료 유출은 없었다고 조사단 측은 설명했다. 조사시점 연동 서버에 일정 기간 임시로 저장되는 파일 안에 IMEI 등이 포함된 사실을 확인한 것이다. 규모는 총 29만1831건이다.

문제는 악성코드 설치시점부터 로그 기록이 없는 2년 간에 자료 유출 여부는 알 수 없다는 얘기다. 조사단은 로그가 없는 해당 기간에 대해서는 유출 여부를 판단하기 어렵다며, 현재 수사기관과 공조해 IMEI 정보가 다크웹 등에 유통되고 있는 지를 면밀히 확인하고 있다고 밝혔다. SK텔레콤은 이에 대해 "2022년 6월부터 수사기관에 의뢰해 SK텔레콤 이용자의 불법 유심이나 불법 단말기 복제건 신고가 있었는 지 확인했고, 회사에 접수된 고객민원 39만건을 전수 검사했을 때 추가 유출은 없었던 것으로 우선 파악 중"이라고 밝혔다.
 
보안 전문가들은 이번 SK텔레콤 해킹 공격을 장기간에 걸쳐 은밀하고 치밀하게 준비한 전형적 APT(advanced persistent threat; 지능형지속공격)이라고 규정한다. 해커는 3년간 치밀하게 침투로를 만들고 정보유출 코드를 심고 기다렸다. 일부 전문가들은 최초 악성코드가 설치된 시점이 2022년 6월 이전일 가능성도 배제할 수 없다고 말한다.

익명을 요구한 보안 전문가는 "3개월이 아니라 3년의 장기간 동안 침입 활동이 있었던 것이 확인됐는데, 이는 지금 공개된 유출 정보들 보다 더 많은 항목이 유출될 수도 있었다는 얘기"라고 전했다.


아울러 이번 사고를 계기로 보다 근본적인 정보보호 체계의 정비와 현행화 필요성도 함께 제기된다. 특히 사고 대상이 된 시스템이 주요 통신 기반시설로 지정돼 있었는지, 또 정보보호 관리체계(ISMS) 인증 범위 안에 포함돼 있었는지를 점검해야 한다는 목소리가 나온다.

이는 현재의 보안 점검 기준이 3G 시절 마련된 체계에 머물러 있으며, 5G 시대에 새롭게 도입된 인프라와 장비들이 그 관리체계 내에서 충분히 반영되고 있는지를 재검토해야 한다는 의미다.

원유재 충남대 교수는 "2003년 1.25 대란 당시 마련된 정보보호 체계를 이제는 현실에 맞게 고도화하는 것이 매우 중요하다"며 "그 이후로 많은 사고가 있었지만 큰 사고들은 민간기업 대신 정부기관들의 대응책 중심으로 만들어졌기 때문에 민간의 정보보호 수단과 체계는 발전된 것이 전혀 없다고 보여진다"고 말했다.

한편 SK텔레콤과 조사단은 핸드폰 복제 가능성은 낮다고 반박했다. 류제명 과학기술정보통신부 네트워크정책실장은 "IMEI는 15자리 숫자 조합으로 구성돼 있어 이 숫자만으로는 복제폰이나 쌍둥이 폰을 만드는 것이 불가능하다는 것이 제조사들의 공통된 입장”이라고 밝혔다. 이어 "이에 따라 SK텔레콤의 FDS 2.0 고도화 작업도 기존 계획보다 앞당겨 적용됐다"고 설명했다.


◎공감언론 뉴시스 [email protected], [email protected], [email protected]