[뉴스토마토 이지은 기자] SK텔레콤(017670) 고객 유심 정보 해킹 사고는 악성코드를 못 잡은 것이 아니라, 최근 보안 변화를 감지하지 못한 것이란 지적이 나오고 있습니다. 실시간 변화 감지를 기반으로 한 새로운 보안 전략 필요성이 제기되는데요. 네트워크가 이미 침해된 것으로 간주해 '절대 믿지 말고, 계속 검증하라(Never Trust, Always Verify)'는 보안 개념인 제로트러스트 도입 필요성이 커지고 있습니다. 

 

김상민 지행아이티 대표는 3일 "정부와 민간에서 발표된 SK텔레콤 해킹사고 관련 조사 결과를 분석한 결과, 기존 시그니처 기반 탐지 방식만으로는 고도화된 스텔스형 악성코드 공격을 막기 어렵다고 볼 수 있다"며 "정량적 변화 탐지와 화이트리스트 기반의 제로트러스트 보안 전략이 현실적인 대안이 될 수 있다"고 밝혔습니다. 

 

 

지행아이티는 서버 보안 분야에 특화된 기업으로, 공공기관과 기업 환경을 중심으로 화이트리스트 기반 실시간 보안 관제 솔루션을 공급하고 있습니다. 최근에는 인공지능(AI) 기반 분석 기술을 융합한 차세대 서버 보호 시스템 개발에 주력 중입니다. 

 

제로트러스트는 과학기술정보통신부가 지난 2022년 10월 제로트러스트 포럼을 발족하며 국내에서 연구가 본격화된 기술입니다. 2023년 7월에는 가이드라인 1.0을, 지난해 12월에는 가이드라인 2.0을 공개했습니다. 정부도 사이버 침해가 갈수록 고도화되고 다양한 디지털 신기술의 확산으로 기업의 보안 관리 포인트가 급격히 증가하는 상황에서 제로트러스트 보안 체계 전환은 시급하다고 강조해 왔습니다. 

 

과기정통부는 민관합동관 조사 결과에 따라 1차 발표를 하며 이번 공격에 BPFdoor 계열 악성코드가 발견됐다고 발표했습니다. BPFdoor 계열 악성코드는 리눅스 커널의 패킷 필터링 기능을 악용해 은밀한 통신 경로를 열고, 기존 보안 시스템의 탐지를 회피하는 고도의 은닉형 기술을 갖춘 것으로 알려졌습니다. 특히 외부망을 통해 침입한 뒤, 폐쇄망 내부에 위치한 HSS(Home Subscriber Server)까지 악성코드를 전파하며 통신 인프라 핵심 정보에 직접 접근한 점에서 그 위협이 매우 심각하다는 평가입니다. 

 

지행아이티는 이 같은 공격이 가능했던 배경으로, 단순히 악성코드가 유입됐다는 사실보다 서버 내에서 발생한 파일 생성과 변경 등 기본적인 시스템 변화를 감지하지 못한 보안 체계의 구조적 한계를 문제로 지적했습니다. 

 

김상민 대표는 "지금까지 보안 체계는 악성코드의 시그니처 탐지나 의심 행위 기반 분석에 집중해왔지만, 이제는 무엇이 새로 생겼는가를 중심으로 서버 상태를 감시하는 관점으로의 전환이 필요하다"며 "이는 단순하지만 해킹을 사전에 차단할 수 있는 가장 본질적인 전략"이라고 강조했습니다.

 

 

지행아이티는 자사 보안 솔루션 엠피프로텍트를 소개하며, 이번 SK텔레콤 사태를 막을 수 있는 방안으로도 소개했습니다. 엠피프로텍트는 신뢰할 수 있는 프로세스만 실행을 허용하고, 미승인 프로세스는 실시간으로 차단하는 화이트리스트 기반 보안 구조를 적용하고 있습니다. AI 기반 신뢰도 분석도 결합해 시그니처 등록 이전 단계의 신종 악성코드도 탐지할 수 있는 구조를 갖췄습니다. 제로트러스트 보안 철학의 핵심 원칙인 지속적인 상태 모니터링을 기술적으로 실현했는데요. 최근 증가하고 있는 은닉형 공격, 지능형 지속 위협(APT) 등에 효과적으로 대응 가능한 구조를 갖췄습니다. 

 

지행아이티는 "복잡한 분석보다 중요한 것은 서버 안에 '무엇이 새로 생겼는가를 실시간으로 감지해 놓치지 않는 것"이라며 "기존 보안 체계에 정량 분석 개념을 더하는 것만으로도 해킹의 연결고리를 끊을 수 있다"고 강조했습니다. 

 

이지은 기자 jieunee@etomato.com