3년 동안 몰랐던 'BPF 도어' 잠복
해커가 정보 빼낼 때만 탐지 가능
유심 정보 암호화 의무 규정도 없어
SKT "암호화·백신 설치, 성능 저하"
복제폰 등 범죄 피해 불안감 못 말려
전문가들은 "유심 교체만으로 충분"

김희섭(왼쪽부터) SKT PR센터장, 임봉오 SKT MNO 사업부장, 류정환 SKT 네트워크인프라 센터장이 19일 서울 중구 삼화타워에서 SKT 일일브리핑에 앞서 고개 숙여 인사하고 있다. 뉴스1

SK텔레콤의 핵심 서버에 3년 동안 악성코드가 잠복해온 사실이 드러나며대한민국 역사상 사상 최악의 개인 정보 유출 사고 가능성이 나오고 있다. 민관합동조사단의 조사 결과 유심 정보와 단말기 고유식별번호(IMEI), 개인 정보까지 대규모로 빠져나간 정황이 확인되면서 통신 보안 체계에 대한 근본적 재점검이 필요해졌다. SKT는 20일 브리핑에서 "현재까지 이번 사태로 인한 피해 건수는 전무"하다고 말했다. 이어 "고객안심 패키지로 고객을 보호할 수 있는 다중 안심망이 완료됐다"며 "2차 피해가 발생할 시 100% 책임지겠다고 밝힌 만큼 고객들은 믿고 안심하셔도 된다"고 했지만 가입자들은 불안을 떨칠 수 없다.

①3년 전 악성코드 감염…눈치 왜 못 챘나

게티이미지뱅크

이번 SKT 유심 해킹에 쓰인 도구는 리눅스 기반 백도어 악성코드 'BPF도어'가 대표적이다. 시스템에 감염되면 몰래 잠복한 뒤 특정 '매직 패킷'을 수신하면 활성화하는 구조를 가진다. 또 일반 시스템 프로세스로 위장해 탐지가 쉽지 않다는 게 전문가의 분석이다. 임종인 고려대 정보보호대학원 석좌교수는 "BPF도어는 막기가 어렵다"며 "(악성코드에 대한) 탐지 능력과 방어력이 높아지면 이를 우회하는 변종들이 만들어진다"고 설명했다. BPF도어는 쉽게 소스코드를 구할 수 있을 만큼 공개돼 있기 때문에 변종 생성도 쉬운 셈이다.

기술 문제도 있다. SKT는 전날 "서버에 악성 코드가 심어지는 침해는 감지하기 어렵고 해커가 정보를 빼내는 데이터 유출을 했을 때만 해킹을 감지할 수 있는 상태"라고 밝혔다. 류정환 SKT 네트워크인프라센터장은 "현재 기술로 가능한 방법은 백신이나 엔드포인트 탐지대응(EDR)을 설치하는 것"이라면서도 "통신망에 이를 설치하는 것은 상당히 어렵지만 그렇게 하도록 하겠다"고 밝혔다.

②임시 저장 서버는 왜 암호화하지 않았나

그래픽=신동준 기자

SKT는 4월 30일 국회 과학기술정보방송통신위원회 청문회에서 유심 정보를 암호화하지 않았다고 털어놨다.암호화를 의무화하는 법 규정이 없다는 이유다. 전날 조사위의 발표에서 추가로 임시저장 서버에도 악성코드가 설치되어 있었다는 점이 밝혀지고 이 서버 역시 암호화가 되지 않았다는 사실이 드러난 데 대해서 SKT는 "암호화를 하고 백신을 설치하면 성능이 저하되는 면이 있다"고 해명했다.

성능과 보안은 양팔저울 양쪽에 놓인 무게추와 같다. 보안을 위해 성능을 모두 포기할 필요는 없고 성능을 위해 보안을 희생해서도 안 되지만 SKT는 성능을 위해 암호화라는 기본적 보안 방법을 쓰지 않았던 것이다. 이를 두고서 SKT가 '1등 통신사'라는 평가를 지키기 위해 암호화를 하지 않았을 수 있다는 지적이 나온다. 임시 서버에서 데이터 암호화와 백신 등 보안 설루션을 적용하면 서버의 처리 속도나 전체 네트워크 성능이 떨어질 수 있다는 점을 걱정해 암호화를 하지 않았다는 얘기다. 과학기술정보통신부가 지난해 12월 발표한 '2024년 통신서비스 커버리지 점검 및 품질평가 결과'에 따르면 SKT의 5G서비스 평균 다운로드 속도는 1,064.54초당 메가비트(Mbps)로 KT의 1,055.75Mbps, LG유플러스의 956.26Mbps와 비교해 빠르다.

③내 핸드폰은 안전한가…"유심 교체·FDS면 예방"

20일 서울 시내의 한 SK텔레콤 직영점에서 소비자들이 유심 교체 관련 상담을 받기 위해 줄 서 있다. 뉴시스

가장 큰 관심사는 '내 휴대폰은 안전한가'라는 근본적 의문이다. 업계와 전문가들은 복제폰이나 쌍둥이폰 등은 사실상 어렵다고 보고 있다. 통신사들은 유심 보호 서비스를 통해 유심이 복제돼 다른 기기에 장착되더라도 정상적으로 작동하지 않게 막고 있다. 이상거래탐지시스템(FDS)과 결합하면 비정상적 인증 시도를 실시간으로 탐지·차단할 수 있다.

유심을 교체하면 기존 유심의 고유번호(IMSI)가 무효화돼 유출된 정보만으로는 네트워크에 접근할 수 없다. 김승주 고려대 정보보호대학원 교수는 "지나친 공포심은 문제 해결을 어렵게 만든다"며 "유심 교체 등 기본 조치만으로도 금융범죄 등 2차 피해는 충분히 예방할 수 있다"고 강조했다. SKT도 이날 브리핑에서 불법복제 유심이나 불법 복제폰 접속 등을 비롯, 이번 정보 유출로 인한 금전적 피해가 접수되지 않았다며 파장 진화에 나섰다.

김진욱 기자 kimjinuk@hankookilbo.com

Copyright © 한국일보. 무단전재 및 재배포 금지.