대체 해킹 목적이 뭘까…3년간 구멍나 있던 SKT 서버, 中조직 배후로 지목

서울시내의 한 SK텔레콤(SKT) 매장에 해킹 사태 관련 안내문이 게시돼 있다. 2025.5.18 [사진 = 뉴스1]

SK텔레콤 유심 서버 해킹 사건의 배후로 중국계 해킹 조직이 지목되고 있다. 해커가 SK텔레콤 서버 침투에 사용한 것으로 확인된 ‘BPF도어’ 계열의 악성코드가 ‘레드멘션(Red Menshen)’을 비롯한 중국계로 추정되는 해커 집단이 정부, 통신사, 금융사 등 국가기반시설을 공격할 때 주로 사용되고 있다는 설명이다. BPF도어가 3년 전부터 SK텔레콤 시스템에 잠복해 있었던 것으로 확인된 만큼 일각에선 이번 사태를 한 기업의 보안 사고가 아닌 국가안보를 위협하는 사이버전쟁으로 바라보고 전방위적인 대응 태세를 갖춰야 한다는 지적이 나온다.

19일 민관합동조사단은 2차 조사 결과 중간발표에서 “2022년 6월 15일을 전후해 SK텔레콤 유심 서버에서 BPF도어 활동이 시작된 정황을 확인했다”며 “현재까지 BPF도어 계열 변종 24종과 웹셸 1종 등 총 25종의 악성코드가 발견됐다”고 밝혔다.

글로벌 컨설팅 그룹 PwC에 따르면 BPF도어는 2022년 최초로 존재가 보고된 백도어 프로그램으로, 중국 해커 집단인 레드멘션이 중동·아시아 지역 통신사를 공격할 때 주로 활용하는 것으로 조사됐다. 당시 PwC는 보고서에서 “레드멘션은 자신들의 IP를 숨기기 위해 미리 해킹해둔 대만 소재 라우터를 경유해 BPF도어에 명령을 보냈다”고 설명했다. 미국 정보보안 기업 트렌드마이크로가 최근 발표한 보고서에서도 BPF도어를 활용하는 주요 그룹으로 레드멘션을 지목했다. 또 2024년 7월과 12월 국내 통신사가 BPF도어 공격을 받았다고 밝혔다.

사건을 조사 중인 과학기술정보통신부는 SK텔레콤 해킹 사태가 정보 수집을 목적으로 한 조직적 범행일 가능성을 열어두고 있는 분위기다. 류제명 과기정통부 네트워크정책실장은 이날 브리핑에서 “(이번 해킹이) 경제적 목적으로 특정 데이터베이스를 목표로 해 탈취하고 다크웹 등에서 거래를 시도하는 양상과는 다르다”며 “해커의 서버 침입 목적 등을 면밀하게 들여다보고 있다”고 밝혔다.

보안 업계에서도 SK텔레콤 해킹 사태가 미·중 사이버전쟁의 연장선상에 놓여 있다는 분석을 내놓고 있다. 대통령실 사이버특별보좌관을 지낸 임종인 고려대 정보보호대학원 명예교수는 “개인정보를 탈취한 지 한 달이 지났는데 다크웹 등에 탈취한 정보가 판매 목적으로 올라오지 않은 것을 보면 해킹의 목적이 개인정보 유출은 아니라고 판단된다”며 “국가 주요 인물과 주요 기반시설에 악성코드를 깔아놨다가 유사시 작동시켜 국가를 마비시키려는 시도가 아닌지 들여다볼 필요가 있다”고 지적했다.

통신 업계 고위 관계자는 “글로벌 통신망 경쟁이 치열한 지금 해커들이 노리는 것은 단순한 개인정보가 아니라 사회 전체의 작동 방식과 주요 통신 흐름 자체”라며 “정부가 개인정보 유출 여부에만 집중할 것이 아니라 사이버 안보 차원에서 정보 보호 강화에 나서야 한다”고 촉구했다.