감염 서버 5 → 23대로 늘어

SK텔레콤 해킹에 사용된 악성코드가 2022년 6월 15일 심어진 것으로 확인됐다. 3년에 걸쳐 해킹 공격이 이뤄진 만큼 단순 개인정보 탈취가 아니라 국가 간 사이버 공격일 가능성이 크다는 우려가 나온다.

SK텔레콤 유출 사고를 조사 중인 민관합동 조사단은 19일 정부서울청사에서 2차 조사 결과를 발표했다. 지난달 29일 1차 조사 결과에서 악성코드에 감염된 서버 5대 중 홈가입자서버(HSS) 3대에서 가입자 식별번호(IMSI)와 인증키 등 유심 정보 4종을 포함한 25종의 정보 유출이 확인됐는데 이번 조사에서 감염 서버가 18대 추가로 발견됐다. 해킹 공격을 받은 서버는 총 23대로 늘었다.

해커가 악성코드를 설치한 시점은 2022년 6월 15일로 특정됐다. 3년 가까이 잠복하다가 공격에 나섰다는 점에서 국가 주요 시설을 노린 사이버 공격 가능성을 배제할 수 없다는 지적이 나온다. 임종인 고려대 정보보호대학원 교수는 “이번 사고는 금전적 목적의 해킹보다는 국가 간 사이버 전쟁의 일환으로 봐야 한다”고 말했다.

 SKT서버 '뒷문' 뚫고 침투…中 해커집단 소행에 무게
 3년 '잠복근무' 이유는…美·中 힘겨루기 와중에 공격

총 23대에 달하는 SK텔레콤 서버 공격 시도가 2022년 6월 15일을 전후해 발생했다는 사실이 드러나자 해커의 정체와 의도가 무엇인지에 관심이 쏠린다. 약 3년간 ‘최고 관리자 권한’을 탈취해 암약했음에도 아무런 피해 사례가 나오지 않아서다. 전문가들은 “거의 모든 정황이 중국 해커 집단을 가리키고 있다”고 입을 모았다.

 ◇ 해커, 금전 탈취 목적 아닐 수도

미국 정보보안 기업 트렌드마이크로는 지난달 ‘아시아·중동 표적에 사용된 BPF도어의 숨겨진 컨트롤러’란 제목의 보고서를 내놨다. 작년 7월과 12월 두 차례 한국 통신사가 BPF도어 공격을 받았고, 비슷한 시기에 홍콩 미얀마 말레이시아 이집트 등의 통신, 금융, 유통 기업이 공격받았다는 내용이다. 트렌드마이크로는 연이은 공격의 배후로 중국 해커 조직 ‘레드 멘션’을 지목했다.

BPF도어는 한 번 침투하면 수개월에서 몇 년까지 서버에 숨어 있다가 해커가 특정 신호를 주면 그때야 잠복을 풀고 활동을 시작하는 악성 코드로, SK텔레콤 서버를 감염시킨 주범이다. 19일 보안업계 관계자는 “BPF도어는 2021년 PwC가 최초로 공개하며 세간에 알려졌는데 당시 PwC는 중국 해커들이 주로 사용하는 수법이라고 특정했다”고 밝혔다.

전문가들은 이날 SK텔레콤 보안 사고를 조사 중인 민관합동조사단의 2차 조사 결과에서 해커 침입 시점에 주목해야 한다고 강조했다. 약 3년간 서버를 마음대로 휘젓고도 아무런 피해가 발생하지 않은 것은 역설적으로 해커의 목적이 다른 데 있음을 입증한다는 논리다. 2023년 초 LG유플러스의 개인정보 유출 사고는 해커가 다크웹에 판매 글을 올리며 해킹 사실이 알려졌다.

대통령실 사이버 특보를 지낸 임종인 고려대 정보보호대학원 교수는 “BPF도어는 침투 후 로그를 지워 기본적으로 탐지하기 어렵다”며 “단순 해킹이 아니라 통신 인프라를 무력화하기 위한 사이버 공격으로 봐야 한다”고 강조했다. 그는 “해커가 기간 시설과 주요 공공기관 등에 지뢰처럼 백도어를 설치한 뒤 결정적 순간에 이를 터뜨려 사회적 혼란을 유도할 수 있다”고 지적했다.

 ◇ “사이버전쟁 수준으로 대응해야”

일각에선 SK텔레콤에 침투한 해커가 통신 데이터를 수집하려 했을 가능성에 주목하고 있다. 특정 인물의 통화 상대, 통화 시간, 통화가 이뤄진 위치 정보 등을 확보하는 것이 주요 목표라는 것이다. 김승주 고려대 정보보호대학원 교수는 “SK텔레콤 사고에서 유출된 정보가 유심 정보였다는 점에 주목해야 한다”며 “통화 상대, 시각, 빈도, 위치 정보 등 통신 메타데이터를 수집하면 개인의 행동 패턴과 사회관계 등을 파악할 수 있다”고 했다. 이에 대해 SK텔레콤 관계자는 “CDR(통화 상세 내역) 유출이 확인된 것은 없다”고 말했다.

중국 해커들의 이 같은 시도는 최근 몇 년 사이에 잇달아 적발됐다. 백악관은 작년 12월 중국이 8개 이상의 미국 통신회사를 해킹해 고위 당국자와 정치인의 통화, 문자메시지 등 통신 기록에 접근했다고 밝혔다. 당시 백악관 관계자는 “어떤 통신사도 네트워크에서 중국 해커를 완벽히 제거하지 못했다”고 말했다. 작년 10월에는 미국 연방수사국(FBI)이 중국 정부의 지원을 받는 볼트 타이푼, 솔트 타이푼, 플랙스 타이푼 등 거대 사이버 스파이 활동 조직을 적발했다. 이들은 미국 베트남 루마니아 등 19개국에서 26만 개 이상 소규모 사무실 등에 악성코드를 심는 방식으로 활동했다.

미국이 통신장비 제조사인 화웨이 제재에 나선 것도 해킹 가능성을 우려해서다. 로이터에 따르면 최근 중국산 태양광 발전 인버터와 배터리에서 비인가 악성 장치가 발견됐다고 밝히기도 했다. 임 교수는 “한국에서 벌어지는 사이버 공격 역시 중국과 북한 등의 소행일 가능성이 큰 만큼 미국 정부와 공조를 강화하고 사회 전반의 보안 수준을 높여야 한다”고 말했다.

이승우/최지희 기자

>> BPF도어
컴퓨터 네트워크에서 특정 데이터를 골라내는 '버클리 패킷 필터'(BPF)를 악용하는 리눅스 기반 백도어 악성코드. 평소에는 잠복해 있다가 특별한 신호(트리거 패킷)가 오면 활동을 시작한다.

Copyright © 한국경제. 무단전재 및 재배포 금지.