'잔인한 4월' 삼성·SK·CJ 등 대기업 왜 해킹당했나?

삼성전자와 SK, CJ 등 국내 대기업들에게 4월은 유독 잔인한 달로 기록될 전망이다.

삼성전자 독일 법인을 시작으로 SK텔레콤, CJ올리브네트웍스가 연이어 해킹 공격에 뚫리며 고객 정보 유출과 시스템 침해라는 뼈아픈 결과를 맞이했다. 각기 다른 유형의 공격이었지만 대한민국 대기업들의 보안 취약점이 드러났다는 점에서 시사하는 바가 크다. 

삼성전자 독일 법인, 27만 고객 개인정보 다크웹 유출 

8일 업계에 따르면 지난달 1일 이스라엘 사이버 보안 업체 허드슨락은 ‘GHNA’라는 아이디를 쓰는 해커가 삼성전자 독일 서비스센터에 문의를 남긴 27만 고객들의 개인정보를 온라인에 유출했다고 밝혔다.

공격의 시작은 수년 전으로 거슬러 올라간다. 2021년 삼성전자 독일 법인의 서비스 품질 모니터링 협력업체인 스펙토스(Spectos GmbH)의 한 직원이 정보 탈취 악성코드에 감염되면서 삼성 시스템 접근 자격 증명이 유출됐다.    

문제는 이 유출된 자격 증명이 수년간 방치되었다는 점이다. 허드슨락은 이미 유출 사실을 경고했지만 삼성전자는 해당 자격 증명을 교체하거나 보호 조치를 취하지 않은 것으로 알려졌다.

결국 해커 'GHNA'는 이를 이용해 삼성전자 독일 법인 시스템에 침투해 고객들의 정보를 유출해 다크웹에 공개했다. 유출된 고객 데이터에는 사용자의 이름과 집 주소, 이메일 주소, 기기 모델 번호와 주문 번호 등의 정보가 들어있다. 또 결제 정보와 고객 담당자 이메일, 접수된 불편 사항 관련 내용, 판매자 응대 내용 등도 전량 유출됐다.

허드슨락은 이들 데이터를 기반으로 온·오프라인에 걸친 각종 정교한 공격이 가능하다고 경고했다. 

허드슨락은 “이미 지난 2021년 사고로 삼성전자 시스템에 접근할 수 있는 계정 정보가 널려 있던 상태”라며 “이후 삼성전자는 아무런 조치를 취하지 않았으며 당시 유출된 정보를 활용한 해커에게 또다시 당한 것”이라고 밝혔다. 제3자 협력업체 관리의 허점과 기본적인 보안 수칙인 자격 증명 관리 부실이 부른 예견된 참사로 지적된다.

당시 삼성전자 독일법인 측은 “현재 정확한 상황을 파악중”이라며 “유럽 등 전체 글로벌 시장으로 제2, 제3의 피해가 확산되지 않도록, 가용 수단을 총동원하겠다”고 밝힌 바 있다.

SK텔레콤, 2500만 유심 정보 유출

이어 지난 18일 국내 1위 이동통신사 SK텔레콤은 더욱 심각한 상황에 직면했다. 가입자 정보와 인증 키 등 핵심 데이터를 저장하는 HSS(Home Subscriber Server) 서버가 악성코드에 감염되어 해킹당하는 초유의 사태가 발생했다. 

이 공격으로 국제 모바일 가입자 식별번호(IMSI), 전화번호(MSISDN), 그리고 유심(USIM) 복제에 악용될 수 있는 인증 키 등 유심(USIM) 관련 민감한 정보 약 9.7GB가 유출된 것으로 알려졌다.    

SK텔레콤 관계자는 "유출된 정보는 유심 키값 등 유심 관련 일부 정보이며 이름, 주민등록번호, 주소 등 개인정보는 유출되지 않았다"고 설명했다.

공격에는 리눅스 서버를 표적으로 하고 네트워크 방화벽을 우회할 수 있는 'BPFdoor'와 같은 고도화된 백도어 악성코드가 사용된 것으로 분석된다. 개인정보보호위원회는 SK텔레콤 메인 서버에서 유출이 있었던 것으로 보고 있다. 이로 인해 SK텔레콤은 전체가입자 약 2300만명과 알뜰폰 가입자 약 200만명이 피해를 입을 가능성이 있는 것으로 알려졌다.

이에 SK텔레콤은 이용자들의 우려를 인식해 유심보호서비스를 무료 제공하고 유심 무료 교체도 진행하겠다고 밝혔다. 회사는 유심보호서비스 가입자 뿐만 아니라 이번 사태로 인해 유심 불법 복제 피해 사례가 발생할 시 책임지고 100% 보상하겠다고 선언했다.

사태가 심각해지자 7일 최태원 SK그룹 회장도 대중들 앞에 서서 진심어린 사과를 건냈다. 최태원 회장은 "최근 SK텔레콤의 사이버 침해 사고로 인고객분들과 국민들께 많은 불안과 불편을 초래했다"며 "SK그룹을 대표해 진심으로 사과한다"고 말했다.

CJ올리브네트웍스, 인증서 유출···타 기관 사이버 공격 시도 정황

삼성전자와 SK에 이어 CJ그룹의 IT 계열사인 CJ올리브네트웍스가 지난달 말일 소프트웨어의 합법성을 확인하는 데 사용되는 코드 서명 인증서 파일을 탈취당한 것으로 알려졌다.  이 사건은 북한의 국가 지원 해킹 조직으로 알려진 '김수키(Kimsuky)'의 소행으로 강력히 의심되고 있다.    

김수키는 탈취한 CJ올리브네트웍스의 인증서를 이용해 국책연구기관인 한국기계연구원(KIMM)에 대한 사이버 공격을 시도한 정황도 포착됐다.

기계연 관계자는 "(지난달) 30일 홈페이지 관리업체를 통해 해킹 시도가 있었던 것은 사실"이라며 "현재는 조치를 완료했고, 문서가 유출된 데 대해서는 업체에 설명을 요청했다"고 말했다.

CJ올리브네트웍스는 침해 사실을 인지한 후 즉시 해당 인증서를 폐기하고 한국인터넷진흥원(KISA)에 신고했다고 밝혔다. 

CJ올리브네트웍스 관계자는 "5월 6일 11시 밤 11시 59분 저희가 해킹이 있다라는 거를 인지했다"며 "그 다음 날 바로 오전 11시가 되기 전에 폐기했고 이후 KISA 신고를 했다"고 설명했다. 회사는 인지 24시간 안에 KISA에 관련 내용을 신고했다.

CJ올리브네트웍스 관계자는 "이제 이번 해킹의 원인이 무엇이며 이것으로 인해서 저희가 인지하고 폐기하는 기간 동안에 발생하는 피해가 있는지 없는지, 그 규모가 어느 정도인지에 대해서는 좀 확인해야 한다"고 조심스럽게 말했다.

4월 한달간 대기업 관련 해킹 사태가 연달아 발생했다. 이들 해킹은 각기 다른 공격 경로와 수법을 보이지만 몇 가지 공통적인 문제점이 보인다.

첫번째는 기본적인 보안 관리의 부재다. 삼성전자 독일법인처럼 수년 전 유출된 협력업체의 접근 권한이 방치된 것은 기본적인 보안 점검과 자격 증명 관리가 얼마나 중요한지를 보여준다.

두번째는 공급망 보안의 취약성이다. 협력업체를 통한 우회 공격(삼성전자)이나, 탈취된 인증서를 이용한 또 다른 기관 공격 시도(CJ올리브네트웍스)는 기업 자체 보안뿐 아니라 연결된 모든 지점의 보안 수준을 함께 관리해야 함을 의미한다.

세번째는 고도화되는 공격 기술에 대한 방어 능력 부족이다. SK텔레콤의 HSS 서버 침투에 사용된 것으로 추정되는 BPFdoor 악성코드는 탐지를 우회하는 등 정교한 기술을 사용한다. 이런 지능형 지속 위협(APT)에 대응하기 위한 선제적 방어 체계 구축이 시급하다는 지적이다.

한 업계 전문가는 "이번 일련의 사태들은 기업들이 안일한 보안 의식에서 벗어나, 변화하는 위협 환경에 맞춰 지속적이고 체계적인 보안 투자를 해야 한다는 경고를 보내고 있다"며 "단순한 기술 도입을 넘어, 조직 문화 전반에 보안을 내재화하고, 발생 가능한 모든 위협 시나리오에 대비하는 철저함만이 제2, 제3의 해킹 피해를 막을 수 있는 유일한 길"이라고 말했다.