매우 유력하다는 SKT 해킹사건 배후 ㄷㄷ

"털렸다"는데 누군지 아직 모른다?…오리무중 SKT 해킹 배후
해킹 의심 경고 수차례…"확인 안 된다"는 정부

SK텔레콤(SKT) 해킹 사고가 발생한 지 한 달이 넘은 가운데 정부는 여전히 해킹 주체와 목적을 파악하지 못하고 있다. 점차 이번 해킹이 단순히 개인정보 유출이나 금전 취득 목적보다 국가 시스템을 겨냥한 공격이라는 분석에 힘이 실리고 있다. 특히 중국 해킹그룹이 주로 사용하는 악성 코드와 수법이 유사하다는 점, 또 이들이 중국 정부의 지원을 받았을 것이란 의혹도 짙어지고 있다. 

정부의 움직임은 답답하다. 해킹 사태 초기에 당국은 해킹의 '1차 피해자'인 SKT와 '2차 피해자'인 이용자들을 분리하는 데 집중했다. 유심 부족 사태가 벌어지자 신규 가입을 막고 대표를 국회 청문회에 소환하는 등 SKT를 공격하는 데 집중했다. 반대로 해킹 '가해자'인 해킹집단에 대해선 좀처럼 정보를 내놓지 않고 있다. 중국 해킹집단의 소행으로 보인다는 '추정'만 내놨을 뿐이다.


서울 시내 한 SKT 매장에 유심보호서비스 관련 안내문이 표시돼 있 다. ⓒ연합뉴스

해외 보안업체들 "한국 통신사 해킹 당해"

이번 SKT 해킹집단은 BPF도어(BPFDoor)라는 리눅스용 악성 코드를 사용했다. BPF도어 활용 수법은 중국 해커들이 주로 사용하는 것으로 알려졌다. BPF도어는 2021년 영국 회계·경영 컨설팅 업체 프라이스워터하우스쿠퍼스(PwC) 위협 보고서에 최초로 등장한 백도어 프로그램이다. 민관합동조사단이 발견한 악성 코드 BPF도어는 리눅스 운영체제(OS)에 내장된 네트워크 모니터링·필터 기능을 수행하는 BPF(Berkeley Packet Filter)를 악용한 백도어(Backdoor)로, 은닉성이 높아 해커의 통신 내역을 탐지하기 어려운 특징이 있다.

글로벌 보안업체들은 SKT 해킹 사실이 알려지기 전부터 국내 통신사의 해킹 피해 가능성을 꾸준히 제기해 왔다. 4월24일 대만 사이버 보안기업 'TeamT5'는 중국과 연계된 '지능형 지속 공격(APT·Advanced Persistent Threat)' 해커그룹이 지난 3월말부터 이반티(Ivanti) 가상사설망(VPN) 장비의 취약점을 통해 전 세계 여러 기관에 침투한 사실을 탐지했다고 밝혔다. TeamT5가 꼽은 피해국은 한국을 포함한 12개국이다. 피해 산업으론 통신 등 20개 분야를 들었다. 공교롭게도 4월19일 SK텔레콤 해킹 사고가 발생했다. VPN은 네트워크에서 안전한 통신을 보장하는 솔루션인데, 구조적 약점으로 인해 해커들이 내부 네트워크로 침투하는 경로로 악용하곤 한다. 특히 '이반티 커넥트 시큐어'란 VPN 장비는 최근에 위협을 겪은 솔루션으로 보안 업계에 알려져 있다. 업계에 따르면, 이 장비는 상당수 국내 기업에 들어가 있다.


유심 재설정을 시연하고 있는 모습 ⓒ연합뉴스

정부와 달리 글로벌 보안업체 트렌드마이크로는 이미 해킹집단을 특정했다. 공교롭게도 SKT 해킹 사고가 알려지기 일주일 전이다. 4월14일 글로벌 보안업체 트렌드마이크로는 "BPF도어를 자체 조사한 결과, 숨겨진 컨트롤러를 밝혀냈다"며 "이 컨트롤러는 APT 해커그룹인 중국 해커조직 '레드 멘션(Red Menshen)'의 소행으로 판단한다"고 발표했다. 그러면서 "최근의 BPF도어 공격은 한국과 홍콩, 미얀마, 말레이시아, 이집트 등 아시아와 중동의 통신사, 금융, 유통 산업을 대상으로 이뤄졌다"고도 덧붙였다.

트렌드마이크로가 공개한 해킹 시점은 지난해 7월과 12월이다. 그러면서 한국에서 해킹 공격을 받은 곳을 통신사로 지목했다. 국내 통신사에 대한 공격 가능성을 제기한 것이다. 그러나 TeamT5와 트렌드마이크로가 제기한 사이버 공격 시점을 전후해 들어온 피해 신고는 SK텔레콤 외엔 없는 상황이다. 정보통신망법은 해킹 사실을 인지한 지 24시간 이내에 관련 내용을 과학기술정보통신부나 한국인터넷진흥원(KISA)에 신고하도록 규정하고 있다. 최우혁 과기정통부 정보보호네트워크정책관은 민관합동조사단 브리핑에서 "트렌드마이크로에 확인을 요청했지만, 트렌드마이크로에서 국내 특정 통신사에 대한 언급은 없었다"고 밝혔다.

중국 보안기업과 중국 공안부 이름까지 등장한다. 지난해 2월 워싱턴포스트와 뉴욕타임스 등 미국 주요 언론은 오픈소스 플랫폼 '깃허브(Github)'에서 중국 보안기업 아이순(i-Soon)이 수집한 정보와 정부와의 계약 문건, 탈취 정보 목록 등이 유출됐다고 보도한 바 있다. 아이순은 중국 공안부와 계약한 업체로, 내부자가 인도·한국·영국·대만 등 20여 개국 정부와 기업에서 빼낸 정보를 깃허브에 올린 것이다. 아이순이 훔친 데이터 목록 중에는 LG유플러스의 약 3테라바이트(TB) 통화기록 데이터도 포함돼 있어 논란이 된 바 있다. 당시 과기정통부·KISA·국정원 등이 조사에 착수했다는 보도가 나왔지만 이후 조사 결과는 알려진 바 없다.

이 같은 내용은 5월8일 SKT 해킹 관련 국회 청문회에서 처음 공개됐다. 청문회에 출석한 이동근 KISA 디지털위협대응본부장은 "아이순과 관련한 정보가 다크웹 등에 유출된다는 이야기가 있었다. 관련해서 실제 데이터를 확보하기 위해 저희도 지속적으로 모니터링하고 찾았지만, 실제 데이터는 확보하지 못했다"고 했다. 그러면서 "아이순 측에서 국내 통신사 정보를 가지고 있었다는 사실 확인은 아직 안 됐다"고 덧붙였다. 해외 유수 보안업체와 언론들이 제기한 다수의 해킹 가능성에 대해 속 시원한 답변은 들을 수 없는 상황이다.



국가 주요 인물의 통화·위치 정보 노렸나

이번 SKT 사고를 비롯해 해킹 우려가 제기된 사례를 종합하면, 유출된 개인정보를 활용한 금전 탈취가 목적이 아닐 수 있다는 주장에 점점 힘이 실리고 있다. 특히 조사단이 발견한 악성 코드 BPF도어가 중국 해커들이 주로 사용하는 수법인 데다 장기간 잠복해 왔다는 점에서 중국 해커그룹의 정보 수집 가능성에 더욱 무게를 두고 접근해야 한다는 주장이다.

글로벌 보안기업 사이버리즌이 발표한 보고서에 따르면, 통신사를 타깃으로 한 공격은 장기간에 걸친 정밀 추적을 위한 기반 정보 확보가 주목적이다. 특정 인물의 통화 상대, 시각, 빈도, 위치 정보 등 통화 기록을 수집해 행동 패턴과 사회적 관계 등을 파악하는 자원으로 활용하기 위해서다. 이 사건 해커가 돈이 아닌 고객의 장기 데이터를 노린 공격이었을 것이란 해석이 나오는 이유다.

익명을 요구한 한 정보보호 전문가는 "중국 해커그룹은 금전적 목적이 아닌 정치적 목적으로 활용한다는 것이 전문가들의 공통된 지적"이라며 "감염된 네트워크를 같은 시간에 작동시키는 방식으로 통신망을 교란시키거나 해당국에 분명한 정치적 메시지를 전달하기 위한 목적"이라고 지적했다. 이어 "장기간 해킹 활동을 벌이는 것은 중국 정부의 지원 없이는 수행하기 힘들다"고도 덧붙였다.

한국이 안보는 물론 산업 측면에서 미국의 핵심 동맹국이라는 점에서 중국 해커조직의 타깃이라는 주장도 나온다. TeamT5는 "중국 해킹그룹은 한국을 표적으로 삼아왔으며 앞으로도 공격의 우선순위가 될 것"이라고 밝히기도 했다.

임종인 고려대 정보보호대학원 석좌교수는 "SK텔레콤 해킹 사건 이후 대중이나 언론이 피해 규모나 사후 대응 방식에만 집중한 측면이 있다"며 "본질은 중국으로 추정되는 해커들의 사이버 공격"이라고 밝혔다. 그러면서 "해커들에 의해 기간통신망, 금융기관, 발전소 등이 마비될 경우 전쟁으로 가는 것"이라며 "지금 AI 산업 육성을 외치는데 보안을 신경쓰지 않으면 사상누각이 될 것"이라고 덧붙였다.

조사단은 "현재까지 해킹 주체 등이 확인된 바 없다"는 입장이다. 5월21일 한 언론에서 "북한에서 해킹이 시작됐다는 징후가 포착된 것으로 알려졌다"고 보도하자 설명자료를 통해 '북한 배후설'에 선을 그은 것이다. 한 정보보호 전문가는 시사저널에 "(북한 배후설은) 신빙성이 떨어진다"며 "북한은 현재 돈벌이에 급급한 상황"이라고 잘라 말했다.

개인정보의 유출 경로는 일부 파악됐다. 고학수 개인정보보호위원장은 5월20일 "SKT 홈가입자서버(HSS)에 있던 가입자 데이터가 '과금정보 관리 서버'(WCDR)를 거쳐 싱가포르 인터넷 주소(IP)로 넘어간 흔적이 있다"고 밝혔다.

경찰 역시 이를 파악하고 공조수사를 펼치고 있다. 6월2일 박현수 서울경찰청장 직무대리는 기자간담회에서 "악성 코드 서버 로그 기록을 분석하던 중 발견된 해외 IP가 있어 국제 공조수사를 하고 있다"며 "우리나라를 제외하고 최소 3개국 이상과 국제 공조수사를 하고 있다"고 말했다. 

한편 민관합동조사단은 SKT 서버 점검에 사용한 악성 코드 변종 202종에 대한 백신을 점검 대상 기업들의 서버에 적용해 감염된 곳이 있는지를 살피고 있다. 이번 직접 점검에는 KT와 LG유플러스에 더해 네이버, 카카오, 쿠팡, 배달의민족도 포함됐다. 다만 아직까지 해킹 특이점은 발견되지 않은 것으로 알려졌다. 과학기술정보통신부 관계자는 "적어도 6월초까지는 점검이 진행될 것으로 보고 있다"고 밝혔다.

당국이 해킹 조사 범위를 넓힌 것은 SKT 해킹집단이 국내 다른 통신사에도 사이버 공격을 시도했을 것이라는 추측이 이어지고 있는 데 따른 조치다. 특히 해당 악성 코드가 최초 설치된 시점이 2022년 6월15일이라고 조사단이 특정하면서 추가 해킹 피해 우려가 커지는 모양새다. 악성 코드가 3년 가까이 SK텔레콤 서버에 잠복해 있었는데 '다른 통신사들은 안전할까'라는 의구심이 들기에 충분하기 때문이다.