KISA 지난 3일 변종 BPF도어 8종 추가 확인해 공지
다크웹 유출 흔적 없어…기반시설 침투 전 단계일 수도
보안 전문가 "공격 범위·의도 철저히 규명돼야 대응 가능"

[이데일리 최연두 기자] SK텔레콤의 유심정보 유출 사태가 단순한 민간기업 대상 해킹이 아니라 더 정밀한 목적성을 띤 사이버 작전의 일환일 수 있다는 관측이 나오고 있다. 보안업계는 최근 SK텔레콤 시스템 내에서 추가로 발견된 악성코드가 기존에 알려진 것의 변종이라는 점에 주목하며, 이번 공격이 중요 기반시설에 접근하기 위한 중간 단계였을 가능성을 제기하고 있다.

SK텔레콤과 BPF도어 악성코드 관련 이미지(사진=생성형 AI 서비스)

7일 한국인터넷진흥원(KISA)에 따르면 민관합동조사단이 SK텔레콤 해킹 사고를 분석하는 과정에서 8종의 악성코드가 추가로 발견됐다. 이날 기준 SK텔레콤 해킹을 위해 이용된 악성코드는 총 12종으로 모두 홈가입자서버(HSS) 3대에서 나왔다.

과학기술정보통신부와 KISA 등을 중심으로 꾸려진 민관합동조사단은 리눅스 기반 악성코드 ‘BPF도어’(BPFdoor) 4종이 이번 해킹 사태의 주범이라고 분석했다. 에스투더블유(S2W) 등 보안기업이 분석한 결과 해당 8종 악성코드는 BPF도어 계열의 변종으로 확인됐다. BPF도어는 정찰·권한 상승·정보 탈취에 이르는 일련의 사이버 공격 전개를 자동화한 악성 프로그램이다. 그 변종이 통신망 내부에서 탐지됐다는 것은 해커가 그만큼 공을 들여 통신사 망을 표적으로 삼았음을 의미한다.

보안 전문가는 이번 공격에 단순한 금전 목적을 넘어, 특정 목표를 가진 조직이 개입했을 가능성이 크다고 보고 있다. 국가 기밀 정보를 노린 사이버 작전일 수 있다는 해석이다.

한 보안업계 관계자는 “이번 SK텔레콤 해킹은 지금까지 알려진 것보다 훨씬 더 정교하고 규모가 클 수 있다”며 “해킹의 목적과 의도를 정확히 파악해야만 실질적인 대응이 가능하다. 해커의 배후나 공격 의도에 따라선 피해가 발생했더라도 정부 차원의 발표가 제한될 수도 있다”고 설명했다.

이번 해킹이 단순한 돈벌이 목적이 아니라, 더 큰 조직을 겨냥한 계획된 공격일 수 있다는 의심은 또 다른 정황에서도 드러난다. S2W에 따르면, 해커들이 훔친 정보를 판매하기 위해 이용하는 ‘다크웹’(익명으로 활동하는 비공개 인터넷 공간)에 이번 SK텔레콤 사건과 관련된 데이터는 아직 올라오지 않았다. 공격 목적이 단순한 금전 거래가 아니라 다른 의도를 가진 작전일 수 있다는 얘기다.

최태원 SK그룹 회장이 7일 오전 서울 중구 SK텔레콤 사옥 수펙스홀에서 SK텔레콤의 해킹 사고와 관련해 대국민 사과를 하고 있다.(사진=이데일리 방인권 기자)

다만, 이번 SK텔레콤 해킹 사태로 인해 발생한 금전 탈취 등 2차 피해는 아직까지 확인되지 않았다. 김승주 고려대 정보보호대학원 교수는 소셜미디어를 통해 “국내에서 통신사를 해킹해 가입자식별번호(IMSI)나 인증키 등을 빼낸다고 해도 이를 금융기관 해킹으로 이어가기는 매우 어렵다”면서 “이는 한국의 금융 환경이 해외 국가와 달리 인증서나 일회용 비밀번호(OTP) 등 보안 절차가 과도할 정도로 요구하고 있기 때문”이라고 했다.

한편, 최태원 SK그룹 회장은 이날 오전 SK텔레콤의 일일 브리핑 자리에서 정부 조사에 적극 협력해 사고 원인을 밝히는 데 주력하겠다고 밝혔다. SK 전 그룹사를 대상으로 한 보안 체계를 다시 검토하고 외부 전문가가 참여하는 정보보호혁신위원회를 구성해 객관적이고 중립적인 개선 방안을 마련하겠다고 약속했다.

최연두 (yondu@edaily.co.kr)

Copyright © 이데일리. 무단전재 및 재배포 금지.