SKT, 2021년 해커 공격 받아…보안 관리 부실·당국 신고도 회피

SK텔레콤 해킹 사고에 대한 민관 합동 조사단의 최종 조사에서 해커의 공격이 2021년부터 이뤄졌으며 SKT가 2022년 자체 조사로 침해 사실을 발견하고도 제대로 조치하지 않으면서 사태를 키운 사실이 드러났다.

민감한 개인 정보 노출 가능성으로 주목된 통화 기록(CDR) 유출은 파악되지 않았다. 다만 로그기록이 없는 2년 반 동안 유출 여부는 확인할 수 없어 정보 유출 사건이 있었는지는 미궁으로 남게 됐다.

과학기술정보통신부를 주축으로 하는 민관 합동 조사단은 4일 정부서울청사에서 SKT 서버 4만2천600대에 대한 전수 조사 결과를 최종 발표했다

◆악성코드 첫 설치는 2021년…서버 계정 정보 부실 관리

이날 조사에서 해커는 2021년 8월 6일 SKT 내부 서버에 최초로 악성코드를 심었다.

중간 조사 결과 발표에서 2022년 6월이 최초 감염 시점으로 지목됐지만 이보다 약 10개월가량 이른 시점이다.

해커는 외부 인터넷과 연결된 시스템 관리망 내 서버에 접속한 뒤 다른 서버에 침투하기 위해 원격제어, 백도어 기능 등이 포함된 악성코드를 설치했다.

당시 공격을 받은 서버에 다른 서버들을 관리할 수 있는 아이디, 비밀번호 등 계정 정보가 암호체가 아닌 평문으로 저장돼 있던 것이 화근이었다.

핵심 서버들에 접근할 수 있는 정보를 쉽게 얻은 해커는 통신사의 핵심 네트워크(코어망)라 할 수 있는 음성통화인증 관리 서버(HSS)에 같은 해 12월 접속한 뒤 BPF도어(BPFDoor)라는 은닉성이 강한 리눅스용 악성 코드를 심어 서버를 제어하기 시작했다.

해커가 심은 SKT에 심은 악성코드는 BPF도어 계열 27종을 포함해 모두 33종이었다.

타이니쉘 3종, 웹쉘, 오픈소스 악성코드인 크로스C2, 슬리버 각각 1종이다.

해커는 HSS 3개 서버에 저장된 유심정보 9.82GB(기가바이트)를 외부로 빼돌렸다. 이는 민관합동조사단이 가입자 전원의 유심(USIM) 분량이라고 밝힌 바 있다.

공급망 보안에도 구멍이 뚫렸다. SK텔레콤 협력업체가 개발한 소프트웨어가 악성코드에 감염, 이 소프트웨어가 SK 서버에 설치돼 악성 코드가 서버 88대에 유입됐다.

다만 이 코드가 실행된 흔적이 없고, 정보 유출 피해도 없을 것으로 보여 SKT 서버를 직접 공격한 해커 행위와 무관한 것으로 조사단은 봤다.

◆비정상 로그인 시도 발견…자체 조사 부실

이번 조사에서 SK텔레콤은 해커가 치밀한 사이버 공격을 감행하는 동안 특이점을 발견하고도 당국에 알리지 않은 채 자체적인 해결책으로 대응하다 문제를 키운 것으로 조사됐다.

SK텔레콤이 2022년 2월 23일 특정 서버에서 비정상적인 재부팅을 발견하고 자체 점검하는 과정에서 악성코드에 감염된 서버를 발견, 조치했지만 신고 의무를 지키지 않아 3천만원 이하 과태료 부과 대상이라고 조사단은 밝혔다.

당시 SK텔레콤은 핵심 서버인 HSS 관리서버에 비정상 로그인 시도가 있었던 정황을 발견했으나, 로그기록 6개 중 1개만 확인하면서 공격자가 서버에 접속한 기록을 발견하지 못했다.

조사단은 "이에 따라 SKT는 정보 유출이 발생한 HSS에서 BPF도어 악성코드가 심어졌던 것을 확인하지 못했고 당국에 신고도 하지 않아 정부 조사로 악성코드를 발견, 조치하는 작업도 이뤄질 수 없었다"고 꼬집었다.

조사단은 SK텔레콤의 시스템 관리망 내 비밀번호를 개정하고, 서버 접속을 위한 다중 인증 체계 도입을 요구했다.

유심 복제에 활용될 수 있는 중요한 정보인 유심 인증키(Ki) 값 암호화도 권고했다. 4월 해킹이 드러나며 자료 보전 명령을 받았음에도 서버 2대를 포렌식 분석이 불가능한 상태로 조치해 제출한 점도 지적했다.

조사단은 "자료 보전 명령 위반과 관련해서는 수사기관에 수사를 의뢰할 예정"이라고 밝혔다.

조사단은 재발 방지 대책으로 서버 등 네트워크가 연결되는 장치에서 일어나는 모든 활동을 감지·분석하는 EDR 설루션 및 백신 적용, 분기별 1회 이상 모든 자산에 대해 보안 취약점 정기 점검, CISO를 최고경영자(CEO) 직속 조직으로 격상 등을 요구했다.

◆지난해 12월까지 무슨 일 있었나? 확인 불가

조사단은 유심 복제에 악용될 수 있는 단말기식별번호(IMEI)나 개인정보가 평문으로 임시 저장된 서버들을 발견했지만, 정밀 분석 결과 방화벽 로그 기록이 남아있는 기간인 지난해 12월 3일부터 사고 발견 직후까지 유출 정황이 없었다고 밝혔다.

하지만, 악성코드 감염 시점인 2022년 6월부터 지난해 12월 2일까지는 로그기록이 없어 유출 여부를 단언하지 못하는 상황이다.

이에 정치인·고위 공직자 등의 통화 기록을 노린 국가 차원 조직적 사이버 범죄라는 의혹도 진위를 파악하기 힘들어졌다.

아울러 SKT가 서버 등 전체 자산 종류, 규모, 유휴·폐기 여부를 체계적으로 관리하지 않고 있었던 점과 타사 대비 정보보호 인력 및 투자 규모가 부족한 점도 문제로 꼽았다.

과기정통부는 SK텔레콤이 보안 관리에서 과실이 있었다며 의무 가입 기간이 남은 이용자의 계약 해지 시 위약금 면제를 요구했다.

또한 SK텔레콤에 재발 방지 대책에 따른 이행계획을 이달 내 제출하고 이행 여부를 올해 말 점검하겠다고 밝혔다.

점검 결과에 따라 시정조치 명령을 예고하는 한편 이 회사뿐 아니라 민간 분야의 정보보호 투자 확대 및 정보보호 거버넌스 강화 등을 위한 제도 개선 방안을 국회와 마련하겠다고 덧붙였다.

경제 기사