SKT 해킹 추가 발견 악성코드 8종, 기존 공격 서버 3대서 나와

▲ 유영상 SK텔레콤 대표이사가 지난 2일 서울 중구 SKT타워에서 열린 일일 브리핑에서 취재진의 질문에 답하고 있다.

SK텔레콤 해킹 사건에서 최근 추가로 발견된 악성코드 8종이 사건 초기 악성코드들이 발견됐던 홈가입자서버(HSS) 3대에서 발견된 것으로 파악됐습니다.

추가 악성코드가 공개되며 기존에 공격받은 서버들 외에 다른 곳에서도 개인정보 유출이 있었던 것 아니냐는 우려가 커졌지만, 이는 사실이 아닌 것으로 보입니다.

이 사건을 조사 중인 민관합동조사단이 오늘(7일) 국회 과학기술정보방송통신위원회 소속 최수진 의원(국민의힘)에 밝힌 바에 따르면 한국인터넷진흥원(KISA)이 최근 추가 공개한 SKT 공격 악성코드 8종은 HSS 서버 3대에서 나왔습니다.

이들 서버 3대는 SK텔레콤이 가입자 정보를 분산한 서버 총 14대 가운데 일부로, 최초 공개된 악성코드 4종 역시 이들 서버에서 발견된 바 있습니다.

민관합동조사단은 최근 추가로 공개된 악성코드 8종의 유입 시점과 경위에 대해 포렌식 중이나 코드 생성 시점에 대해서는 확인 중이라며 밝히지 않았습니다.

악성코드 생성 시점은 SKT 내부망에 침입한 해커의 활동을 유추할 수 있는 중요한 단서로 꼽힙니다.

SKT가 서버 운영에 사용한 공개 운영체제(OS) 리눅스에서는 조회 명령어를 통해 악성 파일 및 코드 생성 날짜를 조회할 수 있어 현장 포렌식으로 악성코드를 채증한 주체는 생성 날짜·시간을 파악했을 것으로 보안업계는 추정합니다.

다만, 해커가 위장을 목적으로 '안티 포렌식' 기법을 통해 코드 잠입·생성 시점을 조작할 가능성은 존재합니다.

아울러 악성코드 12종이 잇따라 발견된 HSS 서버 3대가 서로 연결된 것인지, 각각의 폐쇄망을 통해 분리된 것인지 여부도 사건 파악에 중요한 요소로 꼽힙니다.

서버가 내부망 등을 통해 연결돼 있었다면 악성코드의 측면 이동(래터럴 무브먼트)이 가능하기 때문입니다.

SK텔레콤은 해킹된 서버들이 폐쇄망으로 운영됐다고 밝혔는데, 각각의 서버를 외부와 분리하는 역할을 하는 VPN(가상사설망) 취약점을 통해 해킹 공격이 이뤄졌다는 추정도 나오고 있습니다.

SKT는 과방위 소속 김장겸 의원(국민의힘)에게 서버의 VPN 장비가 이반티(Ivanti)라는 해외 제품과 시큐위즈라는 국산 장비를 사용했다고 설명했습니다.

보안업계에서는 SK텔레콤 공격에서 이반티(Ivanti)의 VPN 취약점을 노렸다는 추정이 제기되며 이반티 VPN의 취약점을 주로 활용하는 중국 기반 해커 그룹의 소행으로 보는 시각이 있습니다.

(사진=연합뉴스)

유영규 기자 sbsnewmedia@sbs.co.kr