[SKT 유심 해킹 사태]'SKT 이반티 VPN' 확인…중국 소행 가능성 커지나

SK텔레콤 유심 해킹 사태로 인한 무상 교체 2일 차인 29일 서울 서초구의 한 SKT 직영대리점에서 가입자들이 개점 전부터 길게 줄 서 있다. 이동근기자 foto@etnews.com

민관 합동조사단이 SK텔레콤의 유심(USIM) 해킹 사고를 조사하는 가운데 SK텔레콤이 이반티(Ivanti) 가상사설망(VPN)을 사용하는 것으로 확인됐다. 보안업계에선 SK텔레콤 해킹사고가 이반티 VPN 장비 취약점이 악용됐을 수 있다는 의견이 제기돼 왔다.

7일 사이버위협인텔리전스(CTI) 플랫폼 '크리미널 IP'를 통해 검색한 결과, SK텔레콤의 이반티 VPN 아이피(IP)가 탐지됐다. 크리미널 IP는 인터넷망에 연결된 기업의 정보기술(IT) 자산을 파악할 수 있다. 크리미널 IP는 내부 로직에 따라 SK텔레콤 내 이반티 VPN IP를 식별했다.

SK텔레콤이 이번 해킹공격 유력 루트 중 하나인 이반티 VPN을 사용하는 것으로 확인됨에 따라 중국 해킹조직 소행 가능성에 무게가 실리고 있다.

앞서 대만 사이버 보안 기업 'TeamT5'는 지난달 14일 자사 블로그를 통해 중국과 연계된 지능형지속위협(APT) 해킹그룹이 지난 3월 말부터 이반티 VPN 장비의 취약점을 전 세계 여러 기관에 침투한 사실을 탐지했다고 밝혔다. 피해국은 한국을 포함한 12개국으로, 타깃이 된 산업에 통신 분야가 포함됐다. SK텔레콤 해킹사고 시점과 맞닿아 있다.

사이버위협인텔리전스 플랫폼 '크리미널IP' 검색 결과, SK텔레콤의 이반티 VPN IP가 확인된다.

특히 현재까지 조사된 결과와 해킹수법도 닮아있다. TeamT5는 중국 해킹그룹이 이반티 VPN 취약점을 약용해 내부 네트워크에 침입해 악성코드를 심었을 것으로 분석했다. 민관 합동조사단도 해커가 SK텔레콤 메인서버에 악성코드를 심어 유심 정보를 빼간 것으로 보고 있다. 다만 공격 루트는 아직 밝혀지지 않았다.

조사 결과 SK텔레콤 해킹사고에 사용된 악성코드 'BPF 도어'(BPF Door) 역시 중국 해킹그룹과 연관성이 있다. BPF 도어는 중국 해킹그룹 레드멘션(Red Menshen)이 개발한 악성코드로 알려져 있다. 정상 시스템 프로세스처럼 위장해 탐지를 회피하고, 네트워크 트래픽을 위장해 방화벽 탐지를 우회하는 등 은닉성이 매우 높은 게 특징이다.

다만 BPF 도어는 오픈소스 형태로 공개된 상태라 중국 해킹그룹 소행으로 단정 짓기에는 한계가 있다. 중국 해킹조직은 공격자를 특정하지 못하도록 악성코드를 개발한 뒤 오픈소스로 공개하는 방식을 주로 사용한다.

TeamT5는 “공격자(중국 APT 그룹)의 모니터링 우회, 로그 삭제 등 다양한 기술을 고려할 때 시스템 내 악성 행위를 탐지하는 게 매우 어려울 것”이라고 공지했다.

조재학 기자 2jh@etnews.com