SK텔레콤 해킹 사건과 관련, 해커의 침입이 무려 2021년부터 시작된 것으로 드러났다. 다만 SK텔레콤은 2022년에 자체적으로 침해 정황을 파악하고도 당국에 알리지 않고 자체 대응에만 나섰다가 일을 키운 것으로 조사됐다.
이와 관련 과학기술정보통신부는 SK텔레콤에 대해 이용자의 계약 해지 시 위약금 면제를 요구하고, 이달 안에 재발 방지 대책 이행 계획서를 제출하라고 통보했다. 연말에는 이행 여부를 점검해 시정 조치를 내릴 방침이다. 또 민간 전반의 보안 수준 강화를 위한 제도 개선도 추진하겠다고 밝혔다.
과학기술정보통신부 주관으로 꾸려진 민관 합동 조사단은 4일 정부서울청사에서 브리핑을 열고, 지난 4월부터 진행해온 SK텔레콤 서버 4만 2600대에 대한 전수 조사 결과를 발표했다.
조사단에 따르면, 해커는 2021년 8월 6일 SK텔레콤 시스템관리망 내 한 서버에 악성코드를 최초로 심었다. 이는 당초 알려진 2022년 6월보다 10개월가량 빠른 시점이다. 특히 해당 서버에는 암호화되지 않은 관리자 ID와 비밀번호가 평문으로 저장돼 있었고, 해커는 이를 이용해 핵심 네트워크 시스템으로 침투했다.
그해 12월에는 이동통신의 핵심 인증 시스템인 HSS 서버에 침투, 고도화된 리눅스 기반 악성코드 ‘BPF도어(BPFDoor)’를 설치했다. 조사 결과 해커가 사용한 악성코드는 총 33종으로, 이 중 27종이 BPF도어 계열이었다.
해커는 지난 4월 18일, HSS 서버 3대에 저장된 약 9.82GB 분량의 유심(USIM) 정보를 외부로 유출했다. 조사단은 이는 가입자 전체의 유심 정보에 해당하는 규모라고 밝혔다.
또한 공급망 보안에서도 취약점이 드러났다. 협력업체가 개발한 소프트웨어에 포함된 악성코드가 SK텔레콤 서버 88대에 설치된 것이 확인됐다. 비록 해당 코드는 실제 실행되지는 않았고 해킹 사건과 직접 연관성은 없지만, 외부 소프트웨어 설치 시 보안 검수가 제대로 이뤄지지 않았다는 점에서 심각한 관리 부실로 지적됐다.
조사단은 SK텔레콤이 이미 2022년 2월 특정 서버의 이상 재부팅을 인지했고, 자체 점검을 통해 악성코드 감염 사실도 확인했지만, 이를 당국에 보고하지 않았다고 밝혔다. 이는 정보통신망법에 따른 신고 의무를 위반한 것으로, 3천만원 이하 과태료 대상에 해당한다.
당시 SK텔레콤은 HSS 서버에서 비정상 로그인 시도를 포착했음에도, 로그 6개 중 1개만 분석하면서 핵심 악성코드 존재를 확인하지 못했다. 이에 따라 정부가 나서기 전까지 감염 사실은 은폐된 채 방치됐다는 게 조사단의 설명이다.
조사 결과 해당 서버들의 관리자 비밀번호는 변경 주기조차 설정돼 있지 않았고, 변경 이력도 없었던 것으로 드러났다.
이번 조사에서 유심 인증키(Ki)와 단말기식별번호(IMEI) 등 민감 정보가 암호화되지 않은 채 저장된 정황도 확인됐다. 다만 조사단은 방화벽 로그 기록이 남아있는 작년 12월 이후에는 외부 유출 정황이 없었다고 밝혔다.
문제는 악성코드 감염 시점인 2022년 6월부터 지난해 12월 초까지 1년 반 넘는 기간의 로그가 남아있지 않았다는 것. 이 시기의 유출 여부는 결국 밝혀내지 못한 채 미궁으로 남게 됐다.
조사단은 "SK텔레콤이 로그를 최소 6개월간 보관해야 했지만, 실제로는 4개월 치만 유지했다"며 "향후 로그 보존 기간 확대와 중앙 관리 시스템 도입이 필요하다"고 강조했다.
정희원 기자 happy1@segye.com
