3년 전 해킹사실 몰랐던 SKT…"피해 발생할 경우 100% 책임"

[서울=뉴시스] 심지혜 기자 = SK텔레콤이 3년전부터 이뤄진 해킹으로 고객 개인정보 등이 유출됐지만 관련 정보 거래나 2차 피해 등이 발생하지 않으면서 공격 목적이 통신망 마비 등을 위한 목적일 수 있다는 관측도 나온다. SK텔레콤은 다양한 가능성을 열어두고 조사를 진행한다는 방침이다.

류정환 SK텔레콤 네트워크인프라센터장은 20일 서울 중구 삼화타워에서 해킹 사고 이후 수습 과정에 대해 설명하는 브리핑에서 최근 발생한 해킹 공격 목적과 관련해 “여러 케이스를 열어두고 보고 있다”고 설명했다.

민관합동조사단 2차 조사 결과에 따르면 현재까지 확인된 SK텔레콤의 악성코드 감염 서버는 23대다. 발견된 악성코드는 총 25종이다. 이로 인해 가입자 전화번호, 가입자식별키(IMSI) 등 유심(USIM) 복제에 활용될 수 있는 4종과 유심 정보 처리 등에 필요한 SK텔레콤 관리용 정보 21종이 유출됐다.

이 가운데 SK텔레콤은 정보 유출로 아직까지 2차 피해가 발생하지 않았다고 강조하고 있다. 불법복제 유심이나 불법 복제폰 접속 등을 비롯, 이번 정보 유출로 인한 금전적 피해가 접수되지 않았다는 것이다.

특히 3년 전부터 악성코드가 심겨져 있었음에도 아직까지 이렇다 할 피해 사례가 확인되지 않고 있다. SK텔레콤이 비정상 인증 차단 시스템(FDS)을 운영하기 시작한 시점은 2023년 6월. 악성코드가 설치된 시점으로부터 1년의 공백기간이 발생한다.

조사단에 따르면 현재까지 확인된 첫 악성코드 설치 시점은 2022년 6월 15일이다. 이는 개인정보 등을 저장하는 서버 2대에 설치됐다. 해당 서버는 통합고객인증 서버와 연동되는 서버들로 고객 인증을 목적으로 호출된 단말기고유식별번호(IMEI)와 이름, 생년월일, 전화번호, 이메일 등 다수의 개인정보가 있었다.

먼저 설치된 악성코드는 웹셸이다. 이는 해커가 악의적인 목적으로 시스템에 임의 명령을 실행할 수 있도록 한 코드로 이후 BPF도어(Door) 악성코드를 심었다.

BPF도어는 리눅스 운영체제(OS)에 내장된 네트워크 모니터링·필터기능을 수행하는 BPF(Berkeley Packet Filter)를 악용한 백도어(Backdoor)로 은닉성이 높아 해커의 통신 내역을 탐지하기 어려운 특징이 있다.

류 센터장은 FDS 운영 전 고객 정보 유출이 발생할 수 있었다는 우려에 대해 "당시 고객 불만 데이터가 없었고, 경찰청 사고에 접수된 것도 없었다"며 "당시 유사한 사고 가 있었지만 우리는 없었다"고 말했다.

이에 일각에서는 이번 해킹의 목적이 금전 탈취 등이 아닌 통신기록 정보 탈취 또는 통신시스템 마비 등에 있다는 시각이 제기되고 있다.

류 센터장은 “(통신기록 정보가) 폐쇄되고 분리돼 있는 망에 저장돼 있어 빼내갈 수 없다”며 “일정 부분 암호화가 돼 있어 큰 문제가 없다”고 말했다.

그는 “다양한 가능성을 열어두고 보고 있는 상황으로 아직 단정해서 말하기 어렵다”며 “다양한 케이스가 외부에서 논의되고 있는데, 그 중 하나라고 생각한다”고 말했다. 이어 “조사단에서 어떤 원인으로 해킹이 이뤄졌는지, 어느 경로로 들어왔는지 보고 있다”고 덧붙였다.

이와 함께 SK텔레콤이 3년 전에 악성코드가 설치됐음에도 발견하지 못하면서 보안 시스템이 부실하다는 지적에 대해서도 사과했다. SK텔레콤이 이를 확인한 것은 최근 발생한 해킹사고에 대한 조사단 포렌식을 통해서다.

류 센터장은 “뼈아픈 지적”이라며 “보안체계를 갖췄다고 하지만 이를 탐지하지 못한 것은 분명히 잘못된 부분”이라고 말했다. 그러면서 “이번 조사단 점검을 통해 민감도를 더 높인 탐지 체계를 가져갈 것”이라고 강조했다.

다만 코로나 대유행 시기 관리 부실로 악성코드가 심겨진 것 아니냐는 일각의 지적에 대해서는 “그런 부분을 연관짓기는 어렵다”고 해명했다.

김희섭 SK텔레콤 PR센터장은 "이번 해킹 사고가 발생한 것에 대해 진심으로 사과 드린다"며 "관련한 피해가 발생하면 100% 책임지겠다"고 말했다.


◎공감언론 뉴시스 [email protected]