SKT 해킹 막을 수 있었는데…무려 4년 전 시작, 악성코드 신고도 안 했다

과기정통부 민관합동조사단 최종 조사결과
21년 8월부터 악성코드 33종 설치…28대 서버 감염
"지난 연말 이전 IMEI·CDR 유출 여부 확인 안 돼"

SKT 해킹사태 민관합동조사단 최종 조사결과/그래픽=이지혜

SK텔레콤에 대한 해킹 공격이 4년 전 시작된 것으로 나타났다. 총 33종의 악성코드가 28대 서버를 감염시켰다. 지난 5월 2차 조사결과 발표 때보다 악성코드는 8종, 감염서버는 5대 늘었다. 이 사고로 약 2700만명의 유심(USIM·가입자식별장치) 정보가 유출됐다. 지난 연말 이전의 단말기식별번호(IMEI)와 통화기록(CDR) 유출 여부는 미궁으로 남았다.

4일 과학기술정보통신부 민관합동조사단은 이같은 내용의 SKT 해킹사고 최종 조사결과를 발표했다. SKT 전체 서버 4만2605대를 조사한 결과 28대 서버에서 악성코드 33종이 발견됐다. 유출된 정보는 △전화번호 △가입자식별번호(IMSI) △인증키 2종 등 유심 정보 25종이다. 총 9.82GB 규모로, IMSI 기준 약 2696만건이 유출돼 사실상 국민의 절반이 피해를 입은 셈이다.

감염 대상엔 이름·생년월일·전화번호·이메일 등 개인정보와 IMEI, CDR이 암호화되지 않은 평문으로 임시 저장된 서버가 포함됐다. 정밀 분석 결과 IMEI는 2024년 12월3일부터, CDR은 2024년 12월9일부터 현재까지 유출되지 않았으나, 그 이전 유출 여부는 로그기록이 없어 확인이 불가능하다. 특히 CDR은 정부 고위층의 통화 상대와 동선 등을 파악할 수 있어 국가안보에 위협이 될 수 있다는 우려가 컸다.

━

해킹 어떻게? "서버 A→B→C 옮겨다니며 정보수집"

━

SKT 해킹 과정/사진=과기정통부

SKT 해킹은 2021년 8월 6일 원격제어·백도어(뒷문) 기능이 포함된 악성코드 'CrossC2'가 설치되며 시작된 것으로 파악됐다. 당초 조사단은 2022년 6월 악성코드가 처음 심겨진 것으로 파악했으나 그보다 1년 앞선 시점부터 해킹이 이뤄진 것이다.

외부 인터넷과 연결된 시스템 관리망 내 서버A에 침투한 해커는 여기에 저장된 계정 정보를 활용해 서버B에 접속했다. 서버B엔 핵심 인프라인 음성통화인증(HSS) 관리 서버의 계정 정보가 평문으로 저장돼 있었다. 이를 통해 HSS 관리서버에 접속, BPF(Berkeley Packet Filte) 도어를 설치한 것이다. 2022년 6월엔 시스템 관리망을 통해 고객관리망 내 고객인증 연계 서버에 접속해 웹쉘·BPF도어를 설치하며 추가 거점을 확보했다.

이후에도 시스템 관리망 내 여러 서버에 추가 악성코드를 심은 해커는 지난 4월18일 3개 서버에 저장된 유심정보를 외부 인터넷과 연결되는 서버C를 거쳐 유출했다. 초기 침투과정에서 확보한 계정정보가 열쇠 역할을 한 것으로 파악된다.

━

정부 "자료보전하라" 했는데, SKT 서버2대 포렌식 불가 조치해

━

과기정통부는 SKT의 문제로 △계정정보 부실 관리 △과거 침해사고 대응 미흡 △주요 정보 암호화 조치 미흡 3가지를 꼽았다.

HSS 관리서버의 계정 정보를 평문으로 저장한 데다, 해킹 사태 초기였던 2022년2월23일 악성코드 감염 서버를 발견하고도 과기정통부에 신고하지 않아서다. 정보통신망법에 따르면 침해사고 발생시 즉시 과기정통부나 한국인터넷진흥원(KISA)에 신고해야 한다. 이에 대해 과기정통부는 3000만원 이하의 과태료를 부과할 예정이다.

당시 SKT는 HSS 관리서버에 비정상 로그인 시도 정황을 발견했으나 로그기록 6개 중 1개만 확인해 공격자가 서버에 접속한 기록을 확인하지 못했다. 당시 SKT가 HSS 관리서버의 해킹 사실을 발견했다면 현재의 대규모 유출은 막을 수 있었던 셈이다. KT·LG유플러스와 달리 SKT만 인증키 값을 암호화하지 않은 것도 비판 요소다.

또 SKT는 조사단이 이번 해킹사고 분석을 위해 자료 보전을 명령했으나, 서버 2대를 포렌식 분석이 불가능한 상태로 임의 조치해 제출한 것으로 나타났다. 정보통신망법에 따르면 자료 보전 명령을 위반해 자료를 보전하지 않은 경우 2년 이하의 징역 또는 2000만원 이하의 벌금 대상이다. 조사단은 이에 대해 수사기관에 수사를 의뢰할 예정이다.

━

"SKT, CISO 대표 직속으로 두고 투자 확대해야"

━

SKT의 정보보호 및 보안 활동에 대한 총체적 부실도 드러났다.

SKT는 자체 규정에 따라 연 1회 이상 서버 보안 점검을 하는데, 쉽게 탐지가 가능한 웹쉘은 점검항목에 포함하지 않아 사고를 키웠다. 전화번호를 비식별화하는 마스킹 규칙이 담긴 정보를 CDR이 저장된 임시서버에 저장하는 등 보안 관리도 미흡했다. 협력사에서 공급받은 소프트웨어를 면밀히 점검하지 않고 서버 88대에 설치해 악성코드가 유입되기도 했다. 다행히 해당 악성코드가 실제 실행되진 않았다.

SKT는 CISO(최고정보보호책임자)가 있지만 업무망이나 고객관리망 등 IT영역만 담당해 역할이 제한적이었던 것으로 파악됐다. 이번 해킹은 시스템 관리망과 코어망이 포함된 네트워크 영역에서 주로 일어났다. 이에 과기정통부는 CISO가 전사 정보보호 정책을 총괄 관리할 수 있도록 CEO(대표이사) 직속 조직으로 강화해야 한다고 지적했다.

또 SKT는 로그기록을 6개월 이상 보관토록 한 자체 보안규정과 달리, 방화벽 로그를 4개월만 보관했다. 이에 대해 과기정통부는 방화벽 로그기록을 6개월 이상 보관하고 중앙로그관리시스템을 구축해 주기적으로 점검토록 했다. 더불어 CIO(최고정보기술책임자)를 신설하고 경쟁사 대비 부족한 정보보호 인력과 투자 규모를 확대하도록 했다. 지난해 SKT와 SK브로드밴드를 합산해 가입자 100만명 당 정보 보호 인력과 투자액은 각각 15명, 37억9000만원으로 업계 평균인 17.7명, 57억4000만원에 미달한다.

과기정통부는 SKT에 재발 방지 대책에 따른 이행계획을 이달까지 제출하도록 하고 오는 11~12월 이행 여부를 점검할 계획이다. 보완이 필요한 사항 발생시 정보통신망법에 따라 시정조치를 명한다. 통신망에 대한 민간 투자 확대, 정보 보호 거버넌스 강화 등 제도개선 방안은 국회 과학기술정보방송통신위원회 내 SKT 해킹사고 관련 TF(태스크포스)와 논의해 마련할 계획이다.

윤지혜 기자 yoonjie@mt.co.kr