박용규 KISA 단장 "공격자, 획득 정보 거점삼아 단계적 침투"
"정보보호 최고책임자 권한 정비 필요…경영진도 함께 살펴야"

박용규 한국인터넷진흥원(KISA) 위협분석단장이 최근 민관 합동조사가 끝난 SKT 침해사고를 리뷰하고 있다./뉴스1 ⓒ News1 윤주영 기자

(서울=뉴스1) 윤주영 기자 = SK텔레콤(017670) 유심정보 2696만 건 유출 이전에는 여러 이상 징후가 있었다. SKT가 제때 대응했으면 사태가 이렇게 커지지 않았을 거라는 지적이다.

9일 서울 용산구에서 열린 '제14회 정보보호 콘퍼런스'에서 박용규 한국인터넷진흥원(KISA) 위협분석단장은 SKT 침해사고 민관합동 조사를 리뷰했다.

박 단장에 따르면 SKT 해킹은 수년에 걸쳐 단계적으로 이뤄졌다. 이동통신 기업은 내부 네트워크 자산이 복잡해, 한 번에 핵심 서버로 침투하기 어렵다.

따라서 공격자는 비교적 표면 정보부터 획득, 이를 거점삼아 내부로 파고드는 전략을 취한다.

2021년 회사 관리·코어망을 대상으로 한 초기 침투가 있었다. 두 번째 단계인 2022년엔 고객 관리망으로까지 침투가 확산했다. 관리망과 고객관리망은 직접 통신이 가능하기 때문이다. 이 과정에서 고객 단말기식별번호(IMEI)가 저장된 서버가 해킹됐다.

마지막 단계에서 공격자는 포트 스캐닝을 통해 회사 공용 계정으로까지 접속, 상승한 권한을 바탕으로 정보를 유출했다.

박 단장은 "사용된 악성코드로 봐도 공격은 네트워크 무력화보단, 정보수집 및 다음 서버로 이동하는 거점 마련에 초점을 뒀다"며 "코어망 핵심인증서버(HSS)에 저장된 유심정보 2696만 건을 외부로 유출하면서 공격자는 소기 목적은 달성했을 것"이라고 분석했다.

SKT가 2022년 전조 증상부터 잘 대응했더라면 사건을 막을 수도 있었다고 박 단장은 지적한다.

박 단장은 "2022년 2월 SKT 서버가 악성코드에 감염됨에 따라 비정상적인 재부팅이 있었다. 그 악성코드는 이번에도 재사용됐다"며 "당시 SKT는 이를 제대로 신고하지 않았다. 정보통신망법 위반 소지도 있다"고 말했다.

이어 "동일한 유형의 공격과 내부 침투가 지속됐다. 잘 대응했으면 큰 사고로 이어지진 않았을 것"이라고 꼬집었다.

이 밖에도 박 단장은 SKT의 미흡한 보안 조치로 △수년째 동일한 계정정보·비밀번호를 사용 △민감정보를 암호화하지 않고 평문 저장 △폐쇄망에 불필요하게 공인 IP를 설정 △네트워크 세그멘테이션(분할된 영역들)을 제어하는 보안 정책이 부실 △내부 자산 파악을 못한 점 등을 들었다.

SKT의 정보보호 최고책임자(CISO) 기능이 제대로 정비되지 못한 점도 지적됐다. 정보기술(IT) 부문 CISO가 네트워크 부문은 전혀 통제하지 못했다는 설명이다.

2023년 고객 정보가 유출된 LG유플러스(032640)도 CISO의 기능 재정비가 필요하다고 봤다.

이날 콘퍼런스에 참여한 홍관희 LG유플러스 CISO는 "CISO가 사고 발생 시 실질적인 조치 권한을 갖추지는 못한 것 같다"며 "최고경영자(CEO) 직속이라곤 해도, 보안 아젠다를 CISO 혼자서 짊어지는 구조다. CISO가 이사회에 1년에 네번씩은 보고하고, 경영진이 보안 아젠다를 함께 살피는 지배구조(거버넌스)가 필요하다"고 말했다.

legomaster@news1.kr

Copyright © 뉴스1. All rights reserved. 무단 전재 및 재배포, AI학습 이용 금지.