이미지 텍스트 확인
시사저널 () 구독
PicK
SKT 해굉에 짙어지논 중국 배후섬.. “다
정부 지원 없인 물가능”
입력 2025.06.09. 오전 10.00
기사원문
“”털렸다””는데 누군지 아직 모른다
해킹 의심 경고 수차례…””확인 안 된다””는 정부
SK텔레콤(SKT) 해킹 사고가 발생한 지 한 달이 넘은 가운데 정부는 여전히 해킹 주체와 목적을 파악하지 못하고 있다. 점차 이번 해킹이 단순히 개인정보 유출이나 금전 취득 목적보다 국가 시스템을 겨냥한 공격이라는 분석에 힘이 실리고 있다. 특히 중국 해킹그룹이 주로 사용하는 악성 코드와 수법이 유사하다는 점, 또 이들이 중국 정부의 지원을 받았을 것이란 의혹도 짙어지고 있다.
정부의 움직임은 답답하다. 해킹 사태 초기에 당국은 해킹의 ‘1차 피해자’인SKT와 ‘2차 피해자’인 이용자들을 분리하는 데 집중했다. 유심 부족 사태가 벌어지자 신규 가입을 막고 대표를 국회 청문회에 소환하는 등SKT를 공격하는 데 집중했다. 반대로 해킹 ‘가해자’인 해킹집단에 대해선 좀처럼 정보를 내놓지 않고 있다. 중국 해킹집단의 소행으로 보인다는 ‘추정’만 내놨을 뿐이다.
이미지 텍스트 확인
첫째 유심 교체와 동인한 효과의 보호 수단인
SK텔레롬은
<유심보호서비스-글 가입하시는 젓만으로 피해금
‘방활 수 있습니다 유심교체 하지 않으서도
끝까지
[안전합니다 불법 유심 복제 피해가 발생하다면
레듬이 책임지켓습니다
책임올 다하켓습니다
그래도 마음이 놓이지 않으시는 고객님께
심 무상 교체?풀 진행합니다.
상에서의 대기 시간을 최소화할 수 잇도로
28일부터 사전 예약 시스템올 운영하고 있습니다.
출국하시는 고객님의 유심 교체에 차짙이 없도록
청스풀 늘려 불편올 최소화하켓습니다
거떠한 피해도 생기지 않도
책임은 다하켓습니다
SK telecom
인심으로 사과드럽니
illls
서울 시내 한SKT매장에 유심보호서비스 관련 안내문이 표시돼 있 다. ⓒ연합뉴스
해외 보안업체들 “”한국 통신사 해킹 당해””
이번SKT해킹집단은BPF도어(BPFDoor)라는 리눅스용 악성 코드를 사용했다.BPF도어 활용 수법은 중국 해커들이 주로 사용하는 것으로 알려졌다.BPF도어는 2021년 영국 회계·경영 컨설팅 업체 프라이스워터하우스쿠퍼스(PwC) 위협 보고서에 최초로 등장한 백도어 프로그램이다. 민관합동조사단이 발견한 악성 코드BPF도어는 리눅스 운영체제(OS)에 내장된 네트워크 모니터링·필터 기능을 수행하는BPF(BerkeleyPacketFilter)를 악용한 백도어(Backdoor)로, 은닉성이 높아 해커의 통신 내역을 탐지하기 어려운 특징이 있다.
글로벌 보안업체들은SKT해킹 사실이 알려지기 전부터 국내 통신사의 해킹 피해 가능성을 꾸준히 제기해 왔다. 4월24일 대만 사이버 보안기업’TeamT5’는 중국과 연계된 ‘지능형 지속 공격(APT·AdvancedPersistentThreat)’ 해커그룹이 지난 3월말부터 이반티(Ivanti) 가상사설망(VPN) 장비의 취약점을 통해 전 세계 여러 기관에 침투한 사실을 탐지했다고 밝혔다.TeamT5가 꼽은 피해국은 한국을 포함한 12개국이다. 피해 산업으론 통신 등 20개 분야를 들었다. 공교롭게도 4월19일SK텔레콤 해킹 사고가 발생했다.VPN은 네트워크에서 안전한 통신을 보장하는 솔루션인데, 구조적 약점으로 인해 해커들이 내부 네트워크로 침투하는 경로로 악용하곤 한다. 특히 ‘이반티 커넥트 시큐어’란VPN장비는 최근에 위협을 겪은 솔루션으로 보안 업계에 알려져 있다. 업계에 따르면, 이 장비는 상당수 국내 기업에 들어가 있다.
이미지 텍스트 확인
기
/
돈
통
유심 재설정을 시연하고 있는 모습 ⓒ연합뉴스
정부와 달리 글로벌 보안업체 트렌드마이크로는 이미 해킹집단을 특정했다. 공교롭게도SKT해킹 사고가 알려지기 일주일 전이다. 4월14일 글로벌 보안업체 트렌드마이크로는 “”BPF도어를 자체 조사한 결과, 숨겨진 컨트롤러를 밝혀냈다””며 “”이 컨트롤러는APT해커그룹인 중국 해커조직 ‘레드 멘션(RedMenshen)’의 소행으로 판단한다””고 발표했다. 그러면서 “”최근의BPF도어 공격은 한국과 홍콩, 미얀마, 말레이시아, 이집트 등 아시아와 중동의 통신사, 금융, 유통 산업을 대상으로 이뤄졌다””고도 덧붙였다.
트렌드마이크로가 공개한 해킹 시점은 지난해 7월과 12월이다. 그러면서 한국에서 해킹 공격을 받은 곳을 통신사로 지목했다. 국내 통신사에 대한 공격 가능성을 제기한 것이다. 그러나TeamT5와 트렌드마이크로가 제기한 사이버 공격 시점을 전후해 들어온 피해 신고는SK텔레콤 외엔 없는 상황이다. 정보통신망법은 해킹 사실을 인지한 지 24시간 이내에 관련 내용을 과학기술정보통신부나 한국인터넷진흥원(KISA)에 신고하도록 규정하고 있다. 최우혁 과기정통부 정보보호네트워크정책관은 민관합동조사단 브리핑에서 “”트렌드마이크로에 확인을 요청했지만, 트렌드마이크로에서 국내 특정 통신사에 대한 언급은 없었다””고 밝혔다.
중국 보안기업과 중국 공안부 이름까지 등장한다. 지난해 2월 워싱턴포스트와 뉴욕타임스 등 미국 주요 언론은 오픈소스 플랫폼 ‘깃허브(Github)’에서 중국 보안기업 아이순(i-Soon)이 수집한 정보와 정부와의 계약 문건, 탈취 정보 목록 등이 유출됐다고 보도한 바 있다. 아이순은 중국 공안부와 계약한 업체로, 내부자가 인도·한국·영국·대만 등 20여 개국 정부와 기업에서 빼낸 정보를 깃허브에 올린 것이다. 아이순이 훔친 데이터 목록 중에는LG유플러스의 약 3테라바이트(TB) 통화기록 데이터도 포함돼 있어 논란이 된 바 있다. 당시 과기정통부·KISA·국정원 등이 조사에 착수했다는 보도가 나왔지만 이후 조사 결과는 알려진 바 없다.
이 같은 내용은 5월8일SKT해킹 관련 국회 청문회에서 처음 공개됐다. 청문회에 출석한 이동근KISA디지털위협대응본부장은 “”아이순과 관련한 정보가 다크웹 등에 유출된다는 이야기가 있었다. 관련해서 실제 데이터를 확보하기 위해 저희도 지속적으로 모니터링하고 찾았지만, 실제 데이터는 확보하지 못했다””고 했다. 그러면서 “”아이순 측에서 국내 통신사 정보를 가지고 있었다는 사실 확인은 아직 안 됐다””고 덧붙였다. 해외 유수 보안업체와 언론들이 제기한 다수의 해킹 가능성에 대해 속 시원한 답변은 들을 수 없는 상황이다.
이미지 텍스트 확인
트렌트마이크로가 분석한
2024년 BPF도어 해림 피해 국가와 산업
시점
국가
산업
2024년 7월
홍콩
통신사
7월
한국
통신사
9월
이집트
금육사
10월
말레이시아
유통사
미안마
통신사
12월
한국
통신사
자료: 트렌트마이크로 흉페이지
국가 주요 인물의 통화·위치 정보 노렸나
이번SKT사고를 비롯해 해킹 우려가 제기된 사례를 종합하면, 유출된 개인정보를 활용한 금전 탈취가 목적이 아닐 수 있다는 주장에 점점 힘이 실리고 있다. 특히 조사단이 발견한 악성 코드BPF도어가 중국 해커들이 주로 사용하는 수법인 데다 장기간 잠복해 왔다는 점에서 중국 해커그룹의 정보 수집 가능성에 더욱 무게를 두고 접근해야 한다는 주장이다.
글로벌 보안기업 사이버리즌이 발표한 보고서에 따르면, 통신사를 타깃으로 한 공격은 장기간에 걸친 정밀 추적을 위한 기반 정보 확보가 주목적이다. 특정 인물의 통화 상대, 시각, 빈도, 위치 정보 등 통화 기록을 수집해 행동 패턴과 사회적 관계 등을 파악하는 자원으로 활용하기 위해서다. 이 사건 해커가 돈이 아닌 고객의 장기 데이터를 노린 공격이었을 것이란 해석이 나오는 이유다.
익명을 요구한 한 정보보호 전문가는 “”중국 해커그룹은 금전적 목적이 아닌 정치적 목적으로 활용한다는 것이 전문가들의 공통된 지적””이라며 “”감염된 네트워크를 같은 시간에 작동시키는 방식으로 통신망을 교란시키거나 해당국에 분명한 정치적 메시지를 전달하기 위한 목적””이라고 지적했다. 이어 “”장기간 해킹 활동을 벌이는 것은 중국 정부의 지원 없이는 수행하기 힘들다””고도 덧붙였다.
한국이 안보는 물론 산업 측면에서 미국의 핵심 동맹국이라는 점에서 중국 해커조직의 타깃이라는 주장도 나온다.TeamT5는 “”중국 해킹그룹은 한국을 표적으로 삼아왔으며 앞으로도 공격의 우선순위가 될 것””이라고 밝히기도 했다.
임종인 고려대 정보보호대학원 석좌교수는 “”SK텔레콤 해킹 사건 이후 대중이나 언론이 피해 규모나 사후 대응 방식에만 집중한 측면이 있다””며 “”본질은 중국으로 추정되는 해커들의 사이버 공격””이라고 밝혔다. 그러면서 “”해커들에 의해 기간통신망, 금융기관, 발전소 등이 마비될 경우 전쟁으로 가는 것””이라며 “”지금AI산업 육성을 외치는데 보안을 신경쓰지 않으면 사상누각이 될 것””이라고 덧붙였다.
조사단은 “”현재까지 해킹 주체 등이 확인된 바 없다””는 입장이다. 5월21일 한 언론에서 “”북한에서 해킹이 시작됐다는 징후가 포착된 것으로 알려졌다””고 보도하자 설명자료를 통해 ‘북한 배후설’에 선을 그은 것이다. 한 정보보호 전문가는 시사저널에 “”(북한 배후설은) 신빙성이 떨어진다””며 “”북한은 현재 돈벌이에 급급한 상황””이라고 잘라 말했다.
개인정보의 유출 경로는 일부 파악됐다. 고학수 개인정보보호위원장은 5월20일 “”SKT홈가입자서버(HSS)에 있던 가입자 데이터가 ‘과금정보 관리 서버'(WCDR)를 거쳐 싱가포르 인터넷 주소(IP)로 넘어간 흔적이 있다””고 밝혔다.
경찰 역시 이를 파악하고 공조수사를 펼치고 있다. 6월2일 박현수 서울경찰청장 직무대리는 기자간담회에서 “”악성 코드 서버 로그 기록을 분석하던 중 발견된 해외IP가 있어 국제 공조수사를 하고 있다””며 “”우리나라를 제외하고 최소 3개국 이상과 국제 공조수사를 하고 있다””고 말했다.
한편 민관합동조사단은SKT서버 점검에 사용한 악성 코드 변종 202종에 대한 백신을 점검 대상 기업들의 서버에 적용해 감염된 곳이 있는지를 살피고 있다. 이번 직접 점검에는KT와LG유플러스에 더해 네이버, 카카오, 쿠팡, 배달의민족도 포함됐다. 다만 아직까지 해킹 특이점은 발견되지 않은 것으로 알려졌다. 과학기술정보통신부 관계자는 “”적어도 6월초까지는 점검이 진행될 것으로 보고 있다””고 밝혔다.
당국이 해킹 조사 범위를 넓힌 것은SKT해킹집단이 국내 다른 통신사에도 사이버 공격을 시도했을 것이라는 추측이 이어지고 있는 데 따른 조치다. 특히 해당 악성 코드가 최초 설치된 시점이 2022년 6월15일이라고 조사단이 특정하면서 추가 해킹 피해 우려가 커지는 모양새다. 악성 코드가 3년 가까이SK텔레콤 서버에 잠복해 있었는데 ‘다른 통신사들은 안전할까’라는 의구심이 들기에 충분하기 때문이다.
