조사단 “SKT 해킹, 中 해커조직 ‘레드 멘션’ 배후 의심”

과기정통부 “금전 목적 해킹과 달라…서버 침입 목적 살펴보는 중”
통신업계 “미·중 간 사이버 전쟁의 연장선상”

▲ 최우혁 과학기술정보통신부 정보보호네트워크정책관이 19일 서울 종로구 정부서울청사에서 SKT 침해사고 관련 민관합동 조사결과 2차 발표 브리핑을 하고 있다. 2025.5.19 연합뉴스

SK텔레콤 유심(USIM) 정보 대규모 유출 사건의 배후로 중국 정부의 지원을 받는 해커조직이 지목됐다.

과학기술정보통신부와 SK텔레콤, 정보보안 전문가 등으로 구성된 민관합동조사단은 19일 정부서울청사에서 2차 조사결과 중간발표를 열고, BPF도어(BPFDoor) 및 관련 악성코드 공격으로 약 2700만 건의 유심 가입자 식별키가 유출됐다고 밝혔다.

조사단에 따르면, SK텔레콤의 서버에서 발견된 BPF도어는 3년 전 처음 존재가 확인된 백도어 프로그램으로, 중국 해커조직 ‘레드 멘션(Red Menshen)’이 활용한 정황이 드러났다.

글로벌 회계·보안 컨설팅 기업 PwC는 2022년 공개한 보고서를 통해 레드 멘션이 중동 및 아시아 지역의 통신사에 대한 공격에 BPF도어를 사용했다고 밝혔다. 당시 이들은 해킹한 대만 소재 라우터를 경유해 IP 추적을 피하면서 BPF도어를 원격 조작한 것으로 분석됐다.

정보보안 기업 트렌드마이크로 역시 최근 보고서를 통해 BPF도어의 실질적인 운영 주체로 레드 멘션을 지목하고, 2024년 7월과 12월 두 차례에 걸쳐 국내 통신사가 해당 프로그램의 공격을 받았다고 밝혔다.

또 다른 보안 기업 사이버리즌은 ‘소프트 셀 작전(Soft Cell Operation)’ 보고서에서, 이러한 유형의 해킹은 단기간 데이터 수집이 아닌, 장기적인 인물 추적과 정밀 감시를 위한 정보 확보가 목적이라고 분석했다. 이들은 피해자의 통화 상대, 통화 시간과 빈도, 위치정보 등을 수집해 행동 패턴과 사회적 관계까지 파악할 수 있다고 설명했다.

국내 통신업계는 이번 사태가 단순한 사이버 범죄를 넘어 미·중 간 사이버 전쟁의 연장선상에 있다고 해석하고 있다.

실제 지난해 12월 백악관은 중국 해커들이 최소 8개 미국 통신사를 해킹해 고위 당국자 및 정치인의 통신 기록에 접근했다고 밝혔으며, FBI는 10월 중국 정부의 지원을 받는 것으로 추정되는 ‘볼트 타이푼’, ‘솔트 타이푼’, ‘플랙스 타이푼’ 등 세 개의 해커조직이 글로벌 규모의 스파이 활동을 벌여왔다고 발표한 바 있다. 이들은 전 세계 19개국, 26만여 개 사무실 및 IoT 기기에 악성코드를 설치해 활동한 것으로 알려졌다.

과학기술정보통신부 역시 이번 해킹이 단순한 금전적 목적의 범죄가 아닌 조직적인 정보 수집으로 보고 있다. 류제명 과기정통부 네트워크정책실장은 이날 브리핑에서 “해커가 특정 데이터베이스를 탈취해 다크웹에서 거래하려는 목적이 아닌 것으로 판단된다”며 “해커의 목적과 서버 침입 경로를 면밀히 들여다보고 있다”고 밝혔다.