악성코드 8종 추가… SKT 민관조사단, 유입 경로·위치 등 분석 중

8종 악성코드 VPN 취약점·리눅스 시스템 노린 정황
 정부, 통신·플랫폼 전방위 보안 점검

▲ 28일 춘천 명동의 한 skt 대리점 앞에 유심 교체를 위해 방문한 가입자들이 길게 줄을 늘어서고 있다. 김정호

민관 합동 조사단이 SK텔레콤 해킹 사건과 관련해 새로 발견된 악성코드 8종의 유입 시점과 발견 장소를 중 분석 중인 것으로 알려졌다.

조사단은 6일 새로 공개된 악성 코드 8종이 해킹 사건 초기 파악된 악성 코드 4종이 나온 홈가입자서버(HSS) 에서 발견된 것인지 별도 서버 장치에 심겨 있던 것인지 정황을 분석 중이다.

SKT는 지난달 18일 보안관제센터에서 데이터가 외부로 빠져나가는 비정상 트래픽을 탐지했고 이후 과금 분석 장비에서 악성코드가 심어진 사실과 함께 파일을 삭제한 흔적을 발견했다.

다음날 4G·5G 이동통신 가입자가 음성 통화를 사용할 때 단말 인증을 담당하는 HSS에서 데이터 유출 정황을 확인했다.

해킹 사건을 조사중인 한국인터넷진흥원(KISA)은 지난 3일 ‘최근 해킹 공격에 악용된 악성 코드 위협정보 2차 공유 및 주의 안내’ 공지를 통해 악성코드 8종을 추가 공개했다.

보안 업계에서는 이번 공격이 이반티(Ivanti)라는 업체의 VPN 장비 취약점을 노렸다는 주장도 나오고 있으나 SKT가 실제로 어떤 장비를 운영했는지는 확인되지 않았다.

류정환 SKT 인프라 전략기술센터 담당(부사장)은 이날 브리핑에서 “네트워크 장비의 보안도 중요하지만 장비를 둘러싼 각 노드에 방화벽 등 보안 장치를 마련하고 있으며 최신 상태를 유지하고 있다”고 밝혔다.

다만 “지난해 마이크로소프트 클라우드 애저 대란으로 관련 부작용을 검토하다 조금 늦어졌다. 오는 7월 말까지 백신 작업을 완료할 계획”이라고 말했다.

과학기술정보통신부는 지난 3일 통신 3사와 네이버·카카오·쿠팡·우아한형제들의 정보보호 현황을 점검하면서 플랫폼 업계도 SK텔레콤 해킹에 사용된 악성 코드에 대해 점검할 것을 주문했다

이들 플랫폼 업계가 쓰는 VPN 장비가 해당 악성 코드에 취약한지 여부 등을 점검하라는 취지이다.

등 주요 플랫폼 기업을 소집해 “해당 악성코드에 대한 취약 여부를 즉시 점검하라”고 지시했다. 과기정통부 관계자는 “이번 침해 사고는 국가 네트워크 보안에 경종을 울리는 사안”이라며 “민간 플랫폼 분야에서도 동일한 위협이 발생하지 않도록 철저히 대비해야 한다”고 강조했다.

민관 합동 조사단 관계자는 “플랫폼 업계에서 해당 악성 코드에 대한 피해는 현재까지 보고된 바 없다”고 전했다.

한편 SKT가 직영점·대리점 2600곳에서 신규 가입과 번호이동 접수를 중단한 지난 5일 KT로 7087명 LG유플러스(LGU+)로 6658명 등 총 1만3745명의 가입자가 이동한 것으로 집계됐다.