"누가 뭘 노렸나"…SKT 해킹사고 수수께끼 3가지

[서울=뉴시스] 박은비 기자 = SK텔레콤 사이버 침해사고가 터진 지 벌써 한달이 넘었다. SK텔레콤은 사고 수습에 사활을 걸고 있지만 전체 가입자들의 유심을 교체하기에는 상당한 시일이 걸릴 전망이다.

이런 와중에 정부 민관합동조사단이 SK텔레콤 해킹사고와 관련된 악성코드 중 일부가 3년 전에 처음 깔렸다는 사실을 추가로 확인하면서 파장이 커지고 있다. 해커는 2022년 6월 시스템 침투 후 그동안 별다른 징후 없이 숨어있다가 지난달 9GB가 넘는 대량의 유심 관련 정보를 외부 유출하면서 베일을 드러냈다.

SK텔레콤을 해킹한 공격자는 누구이고, 무엇을 노렸을까.

보안 전문가들은 우선 이번 사고가 고도의 실력을 갖춘 전문해킹 그룹이 벌인 소행일 것으로 보고 있다. 염흥열 순천향대 정보보호학과 교수는 "내부 직원 공조 없이 기간통신사업자의 정보를 이렇게 빼 내간다는 건 해킹 공격에 상당히 전문성이 있다는 것"이라고 말했다.

과기정통부 민관합동조사단에 따르면, SK텔레콤에서 쓰는 23대 리눅스 서버에서 총 25종의 악성코드가 코드가 발견됐다. 이 가운데 가입자 인증을 할 때 호출되는 통합고객인증 연동 서버 2대에 숨은 악성코드를 분석해보니, 2022년 6월15일 최초 설치된 것으로 확인됐다. 적어도 3년 이상 SK텔레콤 내부망에 은밀히 침투해 있었다는 얘기다.

이번 해킹사고는 표적을 미리 정해 침투한 뒤 들키지 않게 서서히 정보시스템을 점령해나가는 APT(지능형 지속공격)의 전형적인 사례라는 것이 보안 전문가들의 진단이다. 2~3년간 장기간에 걸쳐 은밀히 진행되는 APT 공격의 경우 상당한 자금력과 조직력이 뒷받침돼야 가능한 일이라는 설명이다.

류정환 SK텔레콤 네트워크인프라센터장은 "APT 공격이라는 게 들어오면 일단 생성을 하고 그 다음부터 해커들이 어떤 걸 유출해 나갈 때까지는 상당히 오랜 시간이 걸린다. 2년이 걸릴 수도, 3년이 걸릴 수도 있다"며 "그렇기 때문에 이러한 증적을 찾기가 상당히 어렵다"고 털어놨다.

해커는 이번 공격을 통해 사실상 SK텔레콤 전 가입자 2500만명(알뜰폰 포함)의 유심정보를 빼갔다. 가입자 전화번호와 가입자식별번호, 그리고 유심 관련 정보들 포함해 21종으로 용량만 9.2GB(기가바이트)에 달한다. 성명, 주민번호, 주소 등 신상정보는 빠져 나가지 않았다고 밝혔지만, 3년 가까이 악성코드가 숨어 있었다는 점을 감안하면, 추가 정보유출이 없었다고 장담하긴 어렵다.

의아한 점은 SK텔레콤 악성코드 최초 설치시점부터 지금까지 복제폰 의심 신고는 물론 관련 민원이 한차례 없었다는 점이다. 가입자 정보를 미끼로 한 협박사례조차 없었다. 이를 근거로 이번 SK텔레콤 공격이 단순히 금전 갈취 목적의 사이버 범죄는 아닐 것이라는 게 분석에 무게가 실리고 있다.

반면 대규모 정보유출이 이뤄진 시점에 발각됐고, 당시 빠져나간 정보가 당장 쓸모 있는 정보가 아니기 때문에 공격자들이 아직 이렇다 할 추가 범죄를 시도하지 못했을 것이라는 반론도 있다.

일각에선 중국 해커들이 수년간 전세계 주요 기관을 공격할 때 썼던 백도어(BPF도어)가 나왔다는 점에서 중국 해커들의 소행일 가능성이 제기하고 있지만, 속단하긴 이르다는 의견도 대두된다.

염흥열 교수는 "공격 목표나 목적, 주체가 명확하게 알려지지 않은 상태에서, 결론을 미리 추정하면 오히려 진실을 놓칠 수 있다"며 "모든 가능성을 열어놓고 조사해야 한다고 본다"고 말했다.

실제 글로벌 해커그룹들 사이에서는 최신 악성코드 기법과 수법이 곧바로 공유된다. 특정 코드가 발견됐다고 해서 배후를 특정하긴 어렵다는 얘기다.

SK텔레콤의 뚫려있는 침투 루트를 통해 복수의 해커 그룹들이 서로 다른 공격을 시도했을 것이라는 분석도 나오고 있다.

보안 전문가들 사이에서는 가입자 신상이나 심 스와핑(복제폰) 범죄를 노렸다기 보다는 통화기록(CDR) 등 다른 데이터 수집 목적 때문에 APT공격을 벌인 것 아니냐는 관측도 내놓고 있다.

사실 통신사 정보는 해커들 입장에선 상당한 고급정보다. 매달 요금이 청구되기 때문에 연락처, 주소데이터, 신용카드 정보 등 신상정보만 하더라도 금융사 등 다른 어떤 곳보다도 최신상 정보다. 여기에 유심정보나 단말기식별정보, 위치정보, 문자 수발신 정보 등 각각의 메타 데이터를 매칭만 하면 언제 누구와 몇시간 동안 어느 곳에서 통화했고, 문자메시지를 주고 받았는지 알 수 있다.

이와 관련 정부 민관합동조사단은 아직 조사가 완료되지 않았고 계속 보고 있는 상황이라고 밝혔고, SK텔레콤은 통신기록정보(CDR)의 경우 관련 암호화돼 있어서 유출 우려가 없다는 입장이다.

하지만 지난해 미국 통신사 9곳이 솔트 타이푼이라는 해커조직의 공격을 받았을 때 이들 통신사도 CDR 해킹을 막진 못했다.  미 연방수사국(FBI)은 이 사건과 관련해 해커 수배를 위한 정보 제공자에게 최대 1000만달러를 지급하겠다고 현상금까지 제시한 바 있다.

김승주 고려대 정보보호대학원 교수는 "통신기록 정보가 암호화돼 있어도 키가 안전하게 관리되지 않으면 그건 아무 소용이 없다"며 "미국 통신사 9곳도 털렸는데, 이들 통신사라고 해서 암호화 조치를 하지 않았겠냐"고 말했다.

김 교수는 이어 "금전이 목적이 아니라면 데이터 자체일텐데 무슨 데이터가 가치 있을까 본다면 CDR 밖에 없다"며 "외국에서는 이런 관점에서 접근하고 있고 우리도 우선순위를 CDR에 뒀어야 하는데 아직 조사가 완료되지 않았고, 다음달 말에 종료된다면 그때까지 확인이 될지 모르겠다"고 덧붙였다.

이와 관련 통신사 정보시스템을 국가 안보적 관점으로 접근해야 한다는 목소리도 높아지고 있다.


◎공감언론 뉴시스 [email protected]