“유출된 SKT 개인정보, 싱가포르 IP로 넘어가”

[한국인 개인정보 넘쳐나는 다크웹]
개보위원장 “어마어마한 피해 발생”
역대급 해킹 규정… 강력 징계 예고
해킹 배후-목적 여전히 오리무중

18일 서울 시내의 한 SK텔레콤 매장에 해킹 사태 관련 안내문이 게시돼 있다. 2025.5.18/뉴스1

SK텔레콤 해킹 사고로 유출된 대규모 국내 가입자 개인정보가 싱가포르로 흘러간 흔적이 발견됐다. 아직까지 해킹 배후와 목적은 드러나지 않았다. 정부는 이번 해킹 사태를 ‘역대급 사건’으로 규정하며 강력한 징계를 예고했다.

21일 고학수 개인정보보호위원회 위원장은 서울 중구 은행연합회 빌딩에서 기자간담회를 열고 “(해킹 사고로 유출된 데이터가) 홈가입자서버(HSS)에서 과금관련서버(WCDR)를 거쳐 싱가포르에 있는 인터넷프로토콜(IP)로 넘어간 흔적이 있었다”라고 밝혔다. 다만 “싱가포르 IP 주소가 누구의 소유이고 누가 그 뒤에서 실제 통제를 한 건지 파악하기 쉽지 않은 상태”라며 “국제 공조도 필요하고 시간이 더 걸릴 것”이라고 덧붙였다.

고 위원장은 “이미 어마어마한 피해가 발생했고 SK텔레콤이 그 피해를 막지 못한 것”이라고 질타했다. SK텔레콤이 가입자에게 해킹 피해 사실을 늑장 통보한 데 대해서도 “늦게까지 통지 안 한 것도 문제인 데다 ‘유출 가능성’ ‘추후 조사 결과 필요하면 알리겠다’라는 등 소극적인 표현으로 고객에게 미흡한 통지를 했다”며 “(과징금 등 징계) 처분 과정에서도 이를 고려할 것”이라고 말했다.

이번 해킹 사건의 배후를 단정할 수는 없지만 중국, 북한 등 국가 정부 차원의 지원을 받는 조직이 연루됐을 가능성이 높다는 게 전문가들의 대체적인 견해다. 염흥렬 순천향대 정보보호학과 명예교수는 “해커들이 데이터를 유출할 때 단일 경로를 사용하지 않고 IP를 여러 단계로 우회해 추적을 어렵게 만든다”며 “싱가포르가 최종 목적지인지를 파악하려면 국제 공조가 필요한 사안”이라고 했다. 그러면서 “이번 해킹에 사용된 것으로 알려진 BPF도어가 중국 해커들이 자주 사용하는 도구인 만큼 중국이 배후일 수도 있고, 악성코드가 오픈소스로 풀려 있기 때문에 해커집단이 많은 러시아, 루마니아, 북한 등 다양한 가능성을 열어 놓고 봐야 한다”고 덧붙였다.

무엇보다 SK텔레콤 서버에 최초 침투한 것으로 추정되는 2022년 6월 이후 3년 가까이 잠복하면서 사실상 전 가입자 정보를 탈취했다는 점에서 단순 금전 목적이 아닌 사이버 안보 차원의 공격일 수 있다는 분석도 나온다. 김승주 고려대 정보보호대학원 교수는 “돈벌이를 목적으로 정보를 탈취했다면 보통 다크웹을 통해 정보 거래가 이뤄지는데 이번 사건에서는 다크웹 내 유출 정황이 없었다”며 “따라서 금전 목적보다는 국가 차원의 정보 수집 활동, 특히 통화기록(CDR)을 목표로 한 해킹일 가능성이 높다”고 설명했다.

남혜정 기자 namduck2@donga.com
송진호 기자 jino@donga.com