점점 밝혀지는 'SK텔레콤 해킹 사태'···강화된 FDS 적용으로 피해 無

SK텔레콤 해킹 사태가 불거진 지 약 한달이 지난 지금 관련 당국과 민관합동조사단 등의 조사를 통해 새로운 내용들이 다수 발견됐다. 해킹은 수 년 전부터 치밀하게 계획된 것으로 보이며 당초 밝혀진 내용보다 더 많은 내용이 유출된 것으로 나타났다. 일부 전문가들 사이에는 '중국 해커들의 소행'이라는 의견도 나오고 있다.

다만 현재까지 해킹으로 인한 구체적인 피해 사례는 한 건도 나오고 있지 않고 있다. 유심보호서비스와 강화된 FDS 적용 등 SK텔레콤의 조치가 분명한 효과를 보이고 있는 셈이다.

19일 업계에 따르면 이번 SK텔레콤 해킹 공격은 단기적인 침투가 아닌, 약 3년에 걸쳐 은밀하게 진행되어 온 것으로 드러났다. 이날 민관합동조사단은 해킹에 사용된 악성코드가 SK텔레콤 서버에 처음 심어진 시점은 2022년 6월 15일로 확인됐다는 조사 결과를 밝혔다.

2차례에 걸쳐 정밀히 조사한 결과 방화벽에 로그 기록이 남아있는 지난해 12월 3일부터 지난 달 24일까지 기간에는 데이터 유출이 없었다. 다만 최초 악성코드가 설치된 시점인 2022년 6월 15일부터 지난해 12월 2일까지 로그 기록이 남지 않은 기간의 유출 여부는 확인하지 못했다.

조사 결과에 따르면 SK텔레콤에서 해킹 공격을 받은 서버는 총 23대다. 15대는 포렌식 등 정밀 분석을 완료했다. 나머지 8대는 분석이 진행 중이다.

감염이 확인된 서버 중 2대는 개인정보가 일정 기간 임시로 관리되는 서버다. 1차 조사 결과에서 가능성이 없다고 보였던 개인정보 유출 가능성도 의심된다.

연합뉴스 보도에 따르면 빠져나갔을 수 있는 개인정보는 이름, 생년월일, 전화번호, 이메일 등 휴대전화 가입 시 남기는 정보들로 추정된다. 

2대의 서버는 통합고객인증 서버와 연동되는 기기다. 고객 인증을 목적으로 호출된 단말기 고유식별번호(IMEI)와 개인정보를 저장하고 있었다. 탈취됐을 때 휴대전화 복제와 이상 금융거래에 악용될 수 있는 것으로 우려되며 관심을 모았던 단말기 고유식별번호(IMEI)도 유출됐을 가능성도 제기된다.

앞서 조사단은 IMEI가 저장된 38대 서버의 악성코드 여부를 집중적으로 점검해 감염되지 않음을 확인했다고 밝힌 바 있다. 이후 악성코드가 감염된 서버들에 대한 정밀 포렌식 분석 중 연동 서버에 일정 기간 임시로 저장되는 파일 안에 총 29만2831건의 IMEI 등이 포함되고 있는 것을 확인했다고 다시 전했다.

업계 일부에서는 SK텔레콤 해킹 공격의 배후로 중국과 연계된 것으로 추정되는 해커 집단이 유력하게 거론되고 있다. 공격에 사용된 악성코드의 종류와 공격 방식이 'BPFDoor'라는 이름으로 알려진 백도어 프로그램과 유사하다는 이유다. BDFDoor는 중국 정부의 지원을 받는 것으로 알려진 해킹 그룹 '레드 멘션(Red Menshen)'이 주로 사용하는 수법으로 알려졌다.

미국 정보보안 기업 트렌드마이크로도 지난달 보고서에서 BPF도어의 숨겨진 컨트롤러로 중국의 지능형 지속 공격(APT) 그룹 레드 멘션을 지목했다고 연합뉴스는 보도했다. 

3년이라는 긴 시간 동안 SK텔레콤에 악성코드를 심어 침투해 있었다는 점에서 중국 정부의 지원을 받는 해킹조직일 가능성이 점쳐지고 있다. 

백악관은 지난해 12월 중국이 최소 8개의 미국 통신회사를 해킹해 고위 당국자와 정치인의 전화 통화, 문자 메시지 등 통신 기록에 접근했다고 발표한 바 있다. 당시 미국뿐 아니라 수십 개 이상의 다른 국가들도 중국 해커들의 공격 대상이 됐다고 밝혔다.

류제명 과기정통부 네트워크정책실장도 이날 브리핑에서 "(이번 해킹이) 경제적 목적으로 특정 데이터베이스를 목표로 해 탈취하고 다크웹 등에서 거래를 시도하는 양상과는 다르다"며 "해커의 서버 침입 목적 등을 면밀하게 들여다보고 있다"고 말했다. 

류 실장은 "BPF도어 악성코드 자체의 특성이 굉장히 복잡한데 자료 탈취의 목적인지 다른 목적인지, 다른 목적이라면 남아있는 악성코드가 그 서버에 관심이 있어 들어온 것인지 다음 단계의 공격 거점으로 삼고자 한 것인지 굉장히 시나리오가 다양하다"고 언급했다.

정부의 조사에 따르면 현재까지 이번 해킹으로 인한 민간, 공공 분야에서 신고된 피해 사례는 나오지 않았다. 

업계 일부에서는 SK텔레콤의 유심보호시스템과  비정상인증차단시스템(FDS, Fraud Detection System)이 효과를 보였다는 평가도 나오고 있다.

SK텔레콤에 따르면 2023년 운영을 시작한 SK텔레콤의 FDS는 불법 복제 유심 인증을 비롯한 다양한 비정상 인증 시도를 통신망(네트워크)에서 실시간 감지와 차단하는 기술이다. 누군가 불법 복제된 유심으로 통신망 인증을 시도할 경우, 이를 실시간 모니터링하고 차단한다. SK텔레콤은 다양한 보안 로직을 적용해 비정상적 인증을 막고 있다. 이번 침해 사고 직후 가장 높은 단계로 FDS를 격상해 운영해오고 있다.

지난 18일부터는 FDS 시스템을 고도화해 불법 복제폰 접근까지 차단할 수 있도록 한 업그레이드 솔루션을 통신망에 추가 적용하고 있다. 최근 유심보호서비스 업그레이드에 이은 고객 보호 강화조치다. 이로써 불법유심복제는 물론 단말 인증 관련 정보IMEI(단말기고유식별번호)를 도용한 불법 복제폰 피해까지 차단할 수 있게 됐다.

FDS 고도화 기술에 대해 SK 정보보호혁신특별위원회 자문위원으로 활동 중인 보안 전문기업 티오리의 박세준 대표는 “이번 기술의 가장 큰 강점은 SKT 유심의 고유한 통신 속성에 기반하여 해커의 공격을 구조적으로 막아 단말 IMEI가 복제된 상황에서도 차단한다는 점”이라며 “상용망에 적용하여 통신사 네트워크의 신뢰성을 높이는 계기가 될 수 있을 것”이라고 평가했다.

같은 자문위원인 KAIST 전기 및 전자공학부 김용대 교수는 “이번 기술은 SKT 유심만이 갖고 있는 고유 정보를 인증하여 이 정보가 없는 복제된 유심을 차단할 수 있어, IMEI 등 단말 정보와 무관하게 정상 단말의 보안성을 강화한다” 라며 “이번 고도화로 FDS의 보안 수준을 한 단계 끌어올렸다”고 말했다.