SKT, 2022년 악성코드 감염 알고도 미신고…유심복제 위험성도

[서울=뉴시스] 심지혜 기자 = SK텔레콤이 지난 2022년 2월 악성코드에 감염된 서버를 발견했음에도 신고 의무를 이행하지 않은 것으로 나타났다. 게다가 계정정보 관리가 부실했고 유심인증키(Ki) 값에 대한 암호화 조치도 하지 않는 등 보안 허점이 확인됐다.

과학기술정보통신부는 4일 실시한 SK텔레콤 침해사고 민관합동조사단 조사 결과 발표를 통해 이 같은 내용을 공유했다.

조사단은 SK텔레콤 침해사고로 공격받은 총 28대 서버에 대한 포렌식 분석 결과, BPF도어(Door) 27종을 포함한 악성코드 33종을 확인했다. 이로 인해 유출된 정보는 전화번호, 가입자 식별번호(IMSI) 등 유심정보 25종이며 유출 규모는 9.82GB, IMSI 기준 약 2696만건이다.

감염서버 중에는 ▲단말기식별번호(IMEI)와 이름, 생년월일, 전화번호, 이메일 등 개인정보가 평문(암호화되지 않은 정보)으로 임시 저장된 서버 2대 ▲통화 시간, 수발신자 전화번호 등 통신 활동 관련 정보가 담긴 통신기록(CDR)이 평문으로 임시 저장된 서버 1대를 발견했다.

조사단은 SK텔레콤이 서버 로그인 아이디(ID)와 비밀번호를 안전하게 관리하지 못했다고 판단했다.

정보보호관리체계(ISMS) 인증기준 안내서에 따르면 종이, 파일, 모바일 기기 등에 비밀번호 기록·저장을 제한하고 부득이하게 기록·저장해야 하는 경우 암호화 등의 보호대책을 적용하는 것을 권고한다.

이번 침해사고에서 감염이 확인된 음성통화인증(HSS) 관리서버 계정정보를 다른 서버에 평문으로 저장한 것이다. 조사단은 공격자가 같은 계정정보를 활용해 HSS 관리서버 및 HSS를 감염시킨 것을 확인했다.

SK텔레콤은 유출 정보 중 유심 복제에 활용될 수 있는 중요한 정보인 유심 인증키(Ki) 값에 대한 암호화도 하지 않았다. 세계이동통신사업자협회(GSMA)의 권고에 따라 KT와 LG유플러스는 암호화를 하고 있었던 반면 SK텔레콤은 그렇지 않았던 것이다.

조사단은 SK텔레콤이 과거에 악성코드를 확인했음에도 정부에 신고해야 하는 의무를 따르지 않았다고 지적했다.

SK텔레콤은 2022년 2월 23일 특정 서버에서 비정상 재부팅이 발생한 것을 파악하고 해당 서버 및 연계된 서버들을 점검했다. 이 악성코드에 감염된 서버를 발견하고 조치했지만 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)에 따른 신고 의무를 이행하지 않았다.

또 당시 점검 과정에서 SK텔레콤은 이번 침해사고에서 감염이 확인된 HSS 관리서버에 비정상 로그인 시도가 있었던 정황을 발견, 점검했지만 해당 서버에 대한 로그기록 6개 중 1개만 확인해 공격자가 서버에 접속한 기록을 확인하지 못했다.

이로 인해 HSS 관리서버 및 정보유출이 발생한 HSS에서 BPF도어 악성코드를 확인하지 못했다.

조사단은 침해사고를 신고하지 않아 정부가 조사를 통해 악성코드를 발견해 조치하는 것도 이뤄질 수 없었다고 판단했다.

SK텔레콤은 이번 침해사고 대응 과정에서도 문제가 있었던 것으로 지적됐다. 2022년 뿐 아니라 올해 4월에도 침해사고 인지 후 신고해야 하는 의무를 지키지 않았다. 게다가 일부 내용도 누락했다.

SK텔레콤은 침해사고 인지 후 24시간 이내에 과기정통부 또는 한국인터넷진흥협회(KISA)에 신고해야 하지만 이후에 신고했고, 악성코드(타이니쉘 2종)에 감염된 서버를 발견하고도 침해사고 신고를 하지 않았다.

자료 보전 명령도 위반했다. 과기정통부는 정보통신망법 제48조의4에 따라 SK텔레콤에 침해사고 원인 분석을 위해 자료 보전을 명령했다. 하지만 SK텔레콤은 서버 2대를 포렌식 분석이 불가능한 상태로 임의 조치한 다음 조사단에 제출했다.

이에 과기정통부는 정보통신망법에 따라 늑장 신고에 대한 과태료를 부과하고, 자료보전 명령 위반과 관련해서는 수사기관에 수사를 의뢰할 예정이다.

조사단은 이번 조사 과정에서 SK텔레콤의 보안 관리가 소홀했고 공급망 보안 소홀 등 기본적인 정보보호 활동이 미흡했던 점을 지적했다.

SK텔레콤은 자체 규정에 따라 연 1회 이상 서버 보안점검을 수행하고 있음에도 쉽게 탐지가 가능한 웹쉘은 점검항목에 포함하지 않아 이를 발견하지 못한 것으로 나타났다.

전화번호의 마스킹 규칙이 담긴 정보를 CDR이 임시 저장된 서버에 저장하는 등 마스킹된 정보의 보안 관리도 부족했다.

조사단은 SK텔레콤이 EDR(서버 등 네트워크가 연결되는 장치에서 발생하는 모든 활동을 감지·분석하는 도구) 백신 등 보안 솔루션 도입을 확대하고 제로트러스트 도입, 분기별 1회 이상 모든 자산에 대해 보안 취약점 정기 점검 및 제거 등 보안 관리를 강화할 것을 주문했다.

SK텔레콤은 공급망 보안도 소홀했다. 조사단은 SK텔레콤은 협력업체로부터 공급받은 소프트웨어(SW)에 대한 면밀한 점검 없이 내부 서버 88대에 설치해 해당 SW에 탑재 있었던 악성코드가 유입된 것으로 확인했다.

로그기록을 단기 보관한 것도 문제점으로 지적됐다. SK텔레콤은 자체 보안규정에 따라 로그기록을 6개월 이상 보관해야 하지만 실제로는 방화벽 로그를 4개월간만 보관했다.

조사단은 이로 인해 중요 정보의 유출 여부를 면밀히 조사하는 데 한계가 있었다고 판단했다.

SK텔레콤은 이번 조사를 통해 정보보호 거버넌스 체계가 미흡했던 점도 드러났다.

정보통신망법 제45조의3 등에 따라 정보보호 최고책임자(CISO)가 정보보호 관련 업무를 총괄해야 한다. SK텔레콤은 보안 업무를 IT영역(자산의 57%)과 네트워크 영역(자산의 43%)으로 구분하고 CISO는 IT 영역만 담당했다. 이에 조사단은 CISO가 전사 정보보호 정책을 총괄 관리할 수 있도록 CISO를 최고경영자(CEO) 직속 조직으로 강화해야 한다고 요구했다.

아울러 전사 자산을 담당하는 정보기술 최고책임자(CIO) 신설 필요성도 제기됐다. SK텔레콤은 전체 자산 종류, 규모, 유휴·폐기 여부 등을 체계적으로 관리하지 못하고 있는 실정이다.

정보보호 투자 규모도 부실했다. 지난해 정보보호 공시 기준 SK텔레콤의 가입자 100만명당 정보보호 인력은 15명, 투자액 37억9000만원(SK브로드밴드 포함)으로 KT, LG유플러스 대비 규모가 작았다.

과기정통부는 SK텔레콤에 이달 중 재발방지 대책에 따른 이행계획을 제출토록 하고 11월부터 이행 여부를 점검할 계획이다. 이행점검 결과 보완이 필요한 사항이 발생하는 경우 정보통신망법에 따라 시정조치를 명령할 계획이다.

과기정통부는 인공지능(AI) 시대 국가 사이버보안 역량을 강화하지 않으면 큰 피해가 우려되는 만큼 SK텔레콤 침해사고를 계기로 민간 분야 정보보호 전반의 체계 개편할 방침이다.

통신망을 안전하게 보호하기 위한 별도의 법제도 개선을 비롯해 민간 정보보호 투자 확대 및 정보보호 거버넌스 강화 등을 위한 제도 개선 방안 등을 국회 과학기술정보방송통신위원회 내 SK텔레콤 해킹사고 관련 TF와 논의를 거쳐 마련할 예정이다.

유상임 과기정통부 장관은 “이번 SK텔레콤 침해사고는 국내 통신 업계뿐만 아니라 네트워크 인프라 전반의 정보보호에 경종을 울리는 사고였다”며 “SK텔레콤은 국내 1위 이동통신 사업자로 국민 생활에 큰 영향을 미치는 만큼 이번 사고를 계기로 확인된 취약점을 철저히 조치하고 향후 정보보호를 기업 경영의 최우선 순위로 두어야 할 것”이라고 강조했다.

이와 함께 “다가올 AI 시대에는 사이버위협이 AI와 결합해 더욱 지능화, 정교화될 것으로 예상되는 만큼 정부는 사이버 위협 예방부  고 대응까지 전반적인 보안 체계를 개편하여 안전하고 신뢰받는 AI 강국으로 도약할 수 있도록 지원하겠다”고 말했다.


◎공감언론 뉴시스 [email protected]