[뉴스토마토 이지은 기자] SK텔레콤(017670) 해킹 사태와 관련, 회사가 자신한 대로 추가적인 정보 유출은 없었던 것으로 확인됐습니다. 다만 해킹이 시작된 시점은 약 4년 전인 것으로 드러났습니다. 민관합동조사단의 2차 조사 결과 발표 내용보다 1년여 더 앞서 악성코드가 심어졌던 것입니다. 정부는 계정 정보 관리가 부실했고, 유심 인증키 값을 암호화하지 않아 이번 사이버 침해 사고가 발생한 것으로 판단했습니다. 

 

과학기술정보통신부는 SK텔레콤 침해 사고 민관합동조사단 조사 결과 백도어 기능이 포함된 악성코드가 2021년 8월6일 설치된 것으로 확인됐다고 발표했습니다. 앞서 2차 조사 결과 발표 당시 악성코드가 최초 설치된 시점은 2022년 6월15일로 발표된 바 있습니다. 과기정통부는 "공격자는 외부 인터넷 연결 접점이 있는 시스템 관리망 내 서버에 접속한 후 타 서버에 침투하기 위해 원격제어, 백도어 기능이 포함된 악성코드를 설치했다”며 “조사 과정에서 확인된 감염 서버 중 가장 빠른 시기는 2021년이다"라고 설명했습니다. 

 

해당 서버에는 시스템 관리망 내 서버들의 ID·비밀번호 등 계정 정보가 평문으로 저장돼 있었고, 공격자는 이 계정 정보를 활용해 시스템 관리망 내 다른 서버에 접속한 것으로 추정됐습니다. 공격자는 추가적으로 서버에 접속해 음성통화인증(HSS) 관리 서버 계정 정보를 탈취했고, 이를 빌미로 HSS 관리 서버에 접속해 BPF도어(BPFDoor)를 설치한 것으로 이번 조사 결과 확인됐습니다. 이후 2022년 6월 시스템 관리망을 경유해 고객 관리망 내 서버에 접속한 것으로 추정됐습니다. 이때 웹쉘, BPF도어 등이 설치된 것입니다. 정보 유출은 SK텔레콤이 밝힌 대로 지난 4월18일 진행됐습니다. 공격자가 초기 침투 과정에서 확보한 계정 정보를 활용해 2023년 11월30일부터 지난 4월까지 추가로 악성코드를 설치했고, 이 과정에서 HSS 3개 서버에 저장된 유심 정보를 외부 인터넷 연결 접점이 있는 서버를 거쳐 유출했습니다. 

 

 

SK텔레콤 해킹에서 기존 알려진 것 외에 추가적인 정보 유출은 확인되지 않았습니다. SK텔레콤 전체 서버 4만2605대를 대상으로 조사한 결과입니다. 공격받은 서버는 총 28대였고, 악성코드 33종이 발견됐습니다. 앞서 지난 5월19일 2차 조사 결과 발표 당시 SK텔레콤은 해킹 공격에 따른 서버 악성코드 감염이 약 3년 전부터 시작됐더라도 ‘정보 유출’은 없다고 자신했는데요. 이번 유심 해킹으로 유출된 정보는 전화번호, 가입자 식별번호(IMSI) 등 유심 정보 25종이며, 유출 규모는 9.82GB, IMSI 기준 약 2696만건으로 최종 집계됐습니다. 

 

단말기식별번호(IMEI)나 통화상세기록(CDR)도 자료 유출 정황은 없는 것으로 확인됐습니다. 단 로그 기록이 없는 기간에 대해서는 유출 여부 확인이 불가능한 것으로 나타났습니다. 과기정통부는 "IMEI의 방화벽 로그 기록이 남아 있는 기간은 지난해 12월3일부터 지난 4월24일까지이고, CDR은 지난해 12월9일부터 지난 4월20일까지인데 이 기간 자료 유출 정황은 없는 것을 확인했다"면서도 "악성코드 감염 시점부터 로그 기록이 없는 기간에는 유출 여부를 확인하는 것이 불가능했다"고 설명했습니다. 

 

과기정통부는 이번 사고 원인으로 계정 정보 관리 부실, 과거 침해 사고 대응 미흡, 주요 정보 암호화 조치 미흡 등을 꼽았습니다. HSS 관리 서버 계정 정보를 타 서버에 평문으로 저장한 점, 2022년 2월23일 악성코드 감염 서버를 발견했지만 신고 의무를 이행하지 않고 로그 기록이 있는 6개 중 1개만 확인한 점, 유심 인증키 값을 암호화하지 않고 저장한 점 등을 문제점으로 지적했습니다. 

 

SK텔레콤에 재발 방지를 위해 보안관리 강화와 정보보호 거버넌스 체계를 강화할 것을 주문했습니다. 엔드포인트 탐지·대응(EDR), 백신 등 보안 솔루션 도입을 확대하고, 제로트러스트 도입, 분기별 1회 이상 모든 자산에 대해 보안 취약점 정기 점검에 나선다는 내용 등이 포함됐습니다. 정보보호 최고책임자(CISO)가 전사 정보보호 정책을 총괄 관리할 수 있도록 CISO를 최고경영자(CEO) 직속 조직으로 강화할 것도 권고했습니다. 방화벽 로그 기록을 6개월 이상 보관하고, 중앙로그관리 시스템을 구축해 주기적인 점검과 사고 발생 시 분석에 적극 활용하는 것은 물론, 정보보호 강화에 필요한 인력과 예산 규모를 확대할 것도 주문했습니다. 지난해 정보보호 공시 기준 SK텔레콤의 가입자 100만명당 정보보호 인력은 15명, 투자액 37억9000만원(SK브로드밴드 포함)으로 통신사 평균 대비 그 규모가 작았습니다. 

 

과기정통부는 SK텔레콤에 재발 방지 대책에 따른 이행 계획을 이달 제출하도록 하고 이행 여부를 11~12월 점검할 방침입니다. 정보통신망법 위반에 따라 과태료도 부과됩니다. SK텔레콤은 침해 사고 신고 지연과 미신고, 자료 보전 명령 등을 위반했습니다. 

 

이지은 기자 jieunee@etomato.com