SK텔레콤이 최대 3년 전부터 이어진 해킹 공격으로 인해 고객 개인정보가 외부로 유출된 사실이 확인됐지만, 현재까지 정보 거래나 2차 피해 사례가 없는 것으로 드러났다. 이에 따라 이번 해킹의 목적이 단순한 금전 탈취가 아닌, 통신망 마비나 정보 시스템 교란에 있었던 것 아니냐는 분석이 제기되고 있다. SK텔레콤은 다양한 가능성을 열어두고 해킹 경위와 목적을 조사 중이라고 밝혔다.
“악성코드 감염 서버 23대…IMSI·전화번호 등 유심 정보도 유출”
20일 서울 중구 삼화타워에서 열린 해킹 사고 관련 브리핑에서 류정환 SK텔레콤 네트워크인프라센터장은 “여러 케이스를 열어두고 보고 있다”고 말했다. 현재까지 민관합동조사단의 2차 조사 결과에 따르면 SK텔레콤의 서버 중 23대가 악성코드에 감염됐으며, 발견된 악성코드는 총 25종에 달한다.
이들 악성코드로 인해 유심(USIM) 복제에 활용될 수 있는 정보 4종과, SK텔레콤 내부 관리용 정보 21종이 외부로 유출됐다. 특히 고객의 전화번호, 가입자식별키(IMSI) 등 민감한 정보도 포함돼 있었던 것으로 확인됐다.
하지만 SK텔레콤 측은 “불법 복제 유심이나 복제폰 접속 등 정보 유출로 인한 2차 피해는 아직 보고된 바 없다”며, 금전적인 피해 접수도 없다고 강조했다.
“3년 전부터 악성코드 심겨…1년간 탐지 공백”
문제가 되는 악성코드는 최초로 2022년 6월 15일, 고객 정보를 보관하고 있던 서버 2대에 설치됐다. 해당 서버는 통합고객인증 서버와 연동되는 시스템으로, 단말기고유식별번호(IMEI), 이름, 생년월일, 전화번호, 이메일 등 고객의 개인정보를 다수 저장하고 있었다.
초기에는 웹셸(Web Shell) 형태의 악성코드가 심겨 있었고, 이후에는 BPF도어(BPF Door)로 불리는 고도화된 백도어가 추가로 설치됐다. BPF도어는 리눅스 시스템의 네트워크 감시 기능을 악용해 해커가 자신들의 통신 내역을 은폐할 수 있게 하는 특징을 지닌다. 이로 인해 해커의 접근 흔적을 탐지하기 어려웠다는 분석이다.
SK텔레콤이 이들 이상 징후를 탐지할 수 있었던 시스템은 2023년 6월부터 운영된 비정상 인증 차단 시스템(FDS)이다. 결과적으로 악성코드가 설치된 시점부터 최소 1년 동안 탐지 시스템의 공백이 있었던 셈이다.
“피해 없었지만 통신망 마비 목적 가능성 배제 못 해”
류정환 센터장은 이러한 상황에 대해 “당시 고객 불만 데이터가 없었고, 경찰청에도 사고 접수가 없었다”며 해킹 징후를 사전에 인지하지 못했다고 설명했다. 그럼에도 3년 전부터 설치된 악성코드를 장기간 탐지하지 못했다는 점에서 보안 체계의 허점을 지적하는 목소리가 높다.
류 센터장은 “보안 체계를 갖췄다고 자부했지만, 탐지하지 못한 점은 뼈아픈 지적”이라며 “이번 계기를 통해 탐지 민감도를 높이고 체계를 재정비할 것”이라고 밝혔다.
한편 일부 전문가들과 업계에서는 이번 해킹의 목적이 금전적 이득보다는 통신망의 정보 수집이나 시스템 교란, 마비와 같은 전략적 목적이 있었던 것 아니냐는 의견도 내놓고 있다. 류 센터장은 이와 관련해 “통신기록 정보는 폐쇄된 망에 분리돼 있어 외부 유출이 어렵고, 일정 부분 암호화돼 있어 큰 문제가 없을 것”이라고 설명했다. 그러나 “여러 가능성을 열어두고 조사단과 함께 경로와 목적을 확인 중”이라고 덧붙였다.
“사과와 함께 100% 책임 약속…보안 강화 약속”
해킹 경위와 피해 규모에 대한 조사가 진행 중인 가운데, SK텔레콤은 보안 시스템의 미비에 대해 대국민 사과 입장을 밝혔다. 김희섭 SK텔레콤 PR센터장은 “이번 해킹 사고로 불안과 우려를 끼친 점 진심으로 사과드린다”며 “피해가 발생하면 100% 책임지고 보상하겠다”고 말했다.
아울러 SK텔레콤은 이번 사고를 계기로 보안 인프라와 탐지 체계를 전면적으로 재정비하고, 민관합동조사단의 점검 결과를 바탕으로 보안 정책을 강화하겠다고 밝혔다. 다만 코로나19 대유행 시기의 관리 부실로 인해 악성코드가 심겨진 것 아니냐는 일부 지적에 대해서는 “그와의 연관성을 단정하기는 어렵다”고 선을 그었다.