SK텔레콤을 향한 해커의 공격이 지난 2021년부터 이뤄졌으며 SK텔레콤이 2022년 자체 조사로 침해 사실을 발견하고도 제대로 조치하지 않아 사태를 키운 사실이 드러났습니다.

오늘(4일) 과학기술정보통신부를 주축으로 하는 민관 합동 조사단 발표에 따르면, 해커가 SKT 내부 서버에 최초로 악성코드를 심은 시점은 2021년 8월 6일로 파악됐습니다.

중간 조사 결과 발표에서 2022년 6월이 최초 감염 시점으로 지목됐지만, 이보다 약 10개월가량 이른 시점입니다.

해커는 외부 인터넷과 연결된 시스템 관리망 내 서버에 접속한 뒤 다른 서버에 침투하기 위해 원격제어, 백도어 기능 등이 포함된 악성코드를 설치했습니다.

당시 공격을 받은 서버에 다른 서버들을 관리할 수 있는 아이디, 비밀번호 등 계정 정보가 암호체가 아닌 평문으로 저장돼 있던 것이 화근이었습니다.

핵심 서버들에 접근할 수 있는 정보를 쉽게 얻은 해커는 통신사의 핵심 네트워크(코어망)라 할 수 있는 음성통화인증 관리 서버(HSS)에 같은 해 12월 접속한 뒤 BPF도어(BPFDoor)라는 은닉성이 강한 리눅스용 악성 코드를 심어 서버를 제어하기 시작했습니다.

해커가 SKT 내부 서버에 심은 악성코드는 BPF도어 계열 27종을 포함해 모두 33종으로 파악됐습니다.

해커는 지난 4월 18일 HSS 3개 서버에 저장된 유심정보 9.82GB(기가바이트)를 외부로 빼돌렸습니다.

민관 합동 조사단은 가입자 전원의 유심(USIM) 정보에 해당하는 분량이라고 밝힌 바 있습니다.

공급망 보안에서 구멍도 발견됐습니다.

조사단은 "이번 침해사고와 연관성은 없지만 공급망 보안 관리 취약으로 악성코드 1종이 SK텔레콤 서버 88대에 유입된 것을 확인했다"라고도 밝혔습니다.

SK텔레콤 협력업체가 개발한 소프트웨어가 악성코드에 감염돼 있었는데 이 소프트웨어가 SKT 서버에 설치되면서 코드가 유입된 것입니다.

다만 이 악성코드가 실행된 흔적이 없어 이로 인한 정보 유출 등의 피해가 없었고 SKT 서버를 직접 공격한 해커 행위와 무관해 보인다는 것이 조사단 판단입니다.

조사단 관계자는 "외부에서 제작한 소프트웨어를 SKT가 설치하면서 보안 검수를 제대로 하지 않은 점은 공급망 보안 관리에 문제점으로 볼 수 있다"고 지적했습니다.

이번 조사에서 SK텔레콤은 해커가 치밀한 사이버 공격을 감행하는 동안 특이점을 발견하고도 당국에 알리지 않은 채 자체적인 해결책으로 대응하다 문제를 키운 것으로 조사됐습니다.

조사단은 SK텔레콤이 2022년 2월 23일 특정 서버에서 비정상적인 재부팅을 발견하고 자체 점검하는 과정에서 악성코드에 감염된 서버를 발견, 조치했지만 신고 의무를 지키지 않아 3천만원 이하 과태료 부과 대상이라고 밝혔습니다.

SK텔레콤은 지난 4월 해킹 피해가 최초로 알려졌을 당시에도 신고 기한인 24시간을 넘겨 한국인터넷진흥원(KISA)에 신고해 늑장 신고 논란이 인 바 있습니다.

2022년 당시 점검 과정에서 SK텔레콤은 핵심 서버인 HSS 관리서버에 비정상 로그인 시도가 있었던 정황을 발견했습니다.

하지만, 로그기록 6개 중 1개만 확인하면서 정작 공격자가 서버에 접속한 기록을 발견하지 못한 것으로 조사됐습니다.

조사단은 "이에 따라 SKT는 정보 유출이 발생한 HSS에서 BPF도어 악성코드가 심어졌던 것을 확인하지 못했고 당국에 신고도 하지 않아 정부 조사로 악성코드를 발견, 조치하는 작업도 이뤄질 수 없었다"고 꼬집었습니다.

조사단은 또 SK텔레콤이 시스템 관리망 내 서버의 계정 비밀번호를 변경하지 않았다고 밝혔습니다. 비밀번호 만료일이 설정되지 않았고 변경 이력도 없었다는 것입니다.

조사단은 "비밀번호를 종이, 파일, 모바일 기기 등에 기록하는 것을 지양하고 부득이하게 할 경우 암호화 등의 보호 대책을 적용하라는 것이 정보보호 및 개인정보보호 관리체계 인증 기준"이라며 SKT에 서버 접속을 위한 다중 인증 체계 도입을 요구했습니다.

아울러 유심 복제에 활용될 수 있는 중요한 정보인 유심 인증키(Ki) 값 암호화를 세계이동통신사업자협회(GSMA)가 권고하며 KT[030200], LG유플러스[032640] 등이 하는데도 이 회사만 암호화하지 않은 점, 지난 4월 해킹이 드러나며 자료 보전 명령을 받았음에도 서버 2대를 포렌식 분석이 불가능한 상태로 조치해 제출한 점 등도 지적했습니다.

조사단은 "자료 보전 명령 위반과 관련해서는 수사기관에 수사를 의뢰할 예정"이라고 밝혔습니다.

조사단은 통신기록(CDR)을 임시 저장 서버에 저장한 점, 정보보호 최고책임자(CISO)가 코어망 등 네트워크 영역이 아닌 고객관리망 등 정보기술(IT) 영역의 보안 관리만 담당한 점도 SKT 보안의 미흡한 점으로 꼽았습니다.

재발 방지 대책으로 서버 등 네트워크가 연결되는 장치에서 일어나는 모든 활동을 감지·분석하는 EDR 설루션 및 백신 적용, 분기별 1회 이상 모든 자산에 대해 보안 취약점 정기 점검, CISO를 최고경영자(CEO) 직속 조직으로 격상 등을 요구했습니다.

#skt #sk텔레콤 #해킹 #유심

연합뉴스TV 기사문의 및 제보 : 카톡/라인 jebo23

정다미(smjung@yna.co.kr)