SKT 민관조사단, 추가 공개 악성코드 8종 정밀 분석

유심(USIM) 해킹 사태가 발생한 SK텔레콤이 신규 가입 업무 중단을 시작한 5일 서울 시내의 한 SK텔레콤 직영점에 관련 안내문이 붙어있다. 연합뉴스

SK텔레콤 서버 해킹 사건을 조사 중인 민관 합동 조사단이 최근 추가로 공개된 악성 코드 8종의 유입 시점과 발견 장소 등을 살펴보고 있다.

6일 조사단은 새로 공개된 악성 코드 8종이 해킹 사건 초기 파악된 악성 코드 4종이 나온 홈가입자서버(HSS)에서 발견된 것인지, 별도 서버 장치에 심겨 있던 것인지 구체적 정황을 분석 중이다.

앞서 SK텔레콤은 지난달 18일 보안관제센터에서 데이터가 빠져나간 트래픽 이상을 감지한 이후 과금 분석 장비에서 악성코드가 심어진 사실과 함께 파일을 삭제한 흔적을 발견했다.

그리고 다음날 4G 및 5G 가입자가 음성 통화를 이용할 때 단말 인증을 수행하는 홈가입자서버(HSS)의 데이터 유출 정황을 확인했다.

해킹 사건에 대해 조사 중인 한국인터넷진흥원(KISA)은 지난 3일 '최근 해킹 공격에 악용된 악성 코드 위협정보 2차 공유 및 주의 안내' 공지를 통해 "최근 통신사 침해 사고 대응 중 리눅스 시스템을 대상으로 공격 사례가 확인됐다"며 악성 코드 8종을 추가로 공개했다.

민관 합동 조사단은 해당 코드 발견 장소와 유입·생성 시점, 경로 등에 대한 포렌식 작업을 진행 중이다.

류정환 인프라 전략기술센터 담당(부사장)은 이날 해킹 사태 관련 일일브리핑에서 "통신사의 특성상 네트워크 장비의 보안도 중요하지만 장비를 둘러싼 연결점(노드)에 방화벽 등 보안 장치를 마련하고 있으며 보안 최신성도 유지하고 있다"고 말했다.

류 부사장은 다만 "지난해 마이크로소프트 클라우드 애저 대란으로 관련 부작용을 검토하다 약간 늦어졌다. 오는 7월 말까지 백신 작업을 완료할 계획"이라고 했다.

이번 사태와 관련해 SK텔레콤은 서버 해킹으로 인한 2차 피해를 막을 수 있는 유심 보호 서비스에 6일 오전 9시 현재 알뜰폰 이용자 포함 2천411만명이 가입했고 104만명이 유심을 교체했다고 밝혔다.

SK텔레콤은 가입자 2천300만명과 SKT 망을 쓰는 알뜰폰 가입자 200만명 가운데 해외 로밍 서비스를 써야 해서 유심 보호 서비스에 자동 가입하기 어려운 이들을 제외하면 7일까지 대상자 대부분을 자동 가입시킬 수 있을 것으로 예상했다.

SK텔레콤은 오는 14일부터는 유심 보호 서비스와 해외 로밍을 동시에 적용할 수 있는 방안을 개발 중이다.