SKT 유심정보 해킹… 중국 해커들 주특기 ‘백도어’ 수법 사용돼

SK텔레콤의 가입자 유심(USIM) 정보를 탈취한 사건에 중국 해커 그룹이 주로 사용하는 BPF도어 수법이 사용된 것으로 전해졌다. BPF도어란 백도어 악성코드 중 하나로 2021년 글로벌 컨설팅 기업 프라이스워터하우스쿠퍼스(PWC)의 위협 보고서를 통해 최초로 알려진 사이버 공격 수법이다.

24일 보안업계에 따르면, 지난 19일 최초 파악된 SK텔레콤 서버 공격은 BPF도어라는 리눅스용 악성파일을 심는 방식으로 단행된 것으로 알려졌다. 이 수법은 중국 기반 해킹 그룹이 사용하는 방식이다. 다만, 이들이 최근 악성 파일 개발에 사용되는 소스 프로그램을 오픈소스로 개방하면서 현재로는 공격자를 단정하기는 어렵다는 게 중론이다. SK텔레콤 측은 “조사 중이라 공격에 쓰인 기법 등에 대한 확인은 어려운 상황”이라고 말했다.

보안 전문회사 트렌드마이크로 보고서에 따르면 BPF도어 수법은 통신·금융·리테일 부문을 집중적으로 공격하는 데 쓰이고 있다. 한국을 비롯해 홍콩, 미얀마, 말레이시아, 이집트 등에서 공격이 관찰됐다. 트렌드마이크로는 지능형 지속 위협(APT) 그룹이 지난해 7·12월 한국 통신사에 대한 BPF도어 악성코드 공격을 감행했다고 분석했다.

보고서에 따르면, 중국 기반의 공격자인 ‘레드멘션’이 중동과 아시아를 대상으로 단행한 사이버 공격에 수년 동안 BPF도어를 사용해 왔다. 이 수법을 쓴 해커가 한국 통신사를 공격한 것이 이번이 처음이 아닌 만큼 그간 통신사들의 보안 취약점이 계속해서 노출됐던 것 아니냐는 우려도 커지고 있다.

한편, 최수진 국민의힘 의원이 SK텔레콤으로부터 제출받은 자료에 따르면, SK텔레콤은 지난 18일 오후 6시 9분 의도치 않게 사내 시스템 데이터가 움직였다는 사실을 처음으로 인지한 뒤 45시간가량 지난 20일 오후 4시 46분에 한국인터넷진흥원에 신고했다. 정보통신망법에 따른 24시간 이내 신고 규정을 위반했다는 지적이 나온다.

이에 대해 SK텔레콤 측은 “신고에 필요한 피해 내용을 조사하는 과정에서 시간이 소요돼 늦어졌다”며 “고의 신고 지연은 아니다”고 해명했다.

김성훈 기자