SKT “3년 전 악성코드 감지 못한 건 잘못”

탐지 쉬운 웹셸 장기간 잠복 의문
내부 보안 시스템 고도화 등 약속
경찰, 해킹 배후 등 본격 수사 착수

SK텔레콤 서버에 3년 전부터 일반적인 악성코드가 심어져 있었음에도 그간 ‘깜깜이’였던 사실이 드러나자 기간통신사업자의 보안수준에 대한 우려가 커지고 있다. SKT 측은 악성코드를 감지하지 못한 잘못을 인정하고 시스템을 개선하겠다고 밝혔다.

SKT 류정환 네트워크인프라 센터장은 20일 서울 중구 삼화빌딩에서 연 일일브리핑에서 “보안체계를 갖췄음에도 웹셸 악성코드를 센싱(감지)하지 못한 건 잘못된 부분”이라며 “웹셸을 탐지하지 못한 것과 관련해 어느 부분에 문제가 있는지 계속 보고 있고 개선해 나가겠다”고 밝혔다.

지난 18일 서울시내의 한 SK텔레콤(SKT) 매장에 해킹 사태 관련 안내문이 게시돼 있다. 뉴스1

류 센터장은 “이번 사고를 계기로 좀 더 민감도를 높인 센싱체계를 가져가겠다”고 말했다.

전날 민관합동조사단은 SKT 서버에서 BPF도어 계열 12종과 웹셸 1종을 추가 발견해 총 25종의 악성코드를 찾아냈다고 발표했다. 웹셸 악성코드는 2022년 6월쯤 최초 설치됐고 이어 BPF도어 악성코드가 심어졌다. BPF도어 계열은 은닉성이 높아 해커의 통신내역을 잡아내기 어려운 반면 3년 내내 SKT 서버에 잠복했던 웹셸은 탐지 난이도가 상대적으로 높지 않은 것으로 알려졌다.

조사단 부단장을 맡은 이동근 한국인터넷진흥원(KISA) 디지털위협대응본부장은 전날 “발견된 웹셸 1종은 일반적으로 널리 알려진 것”이라며 “BPF도어처럼 은닉성을 가지는 게 아니라 기본적으로 홈페이지를 장악하는 기술에서 많이 쓰이는 형태였고 특별히 아주 탐지가 안 되는 게 아니었다”고 설명했다. 이 본부장은 “웹셸 1종은 최초 침투 목적으로, 서버를 감염시키는 용도로 사용됐다”고 말했다.

웹셸이 심어진 이듬해 1월 LG유플러스에서 고객 개인정보 30만건이 불법거래 사이트에 유출된 사건이 있었음에도 SKT가 감염 사실을 찾아내지 못한 것도 의아한 대목이다. 경쟁사에서 대형 사고가 발생하면 내부 보안실태를 점검·강화하는 것이 일반적이다. 류 센터장은 이에 대해 “당시 취할 수 있는 조치는 취했다”고 짧게 답했다.

현재 이번 사태와 관련한 경찰 수사는 해킹의 배후를 쫓는 서울경찰청 사이버수사대와 SKT의 책임 여부를 가리는 서울 남대문서 등 두 갈래로 나뉘어 진행 중이다.

남대문서에는 현재까지 모두 5건의 고발이 접수됐다.

송은아·이예림 기자