[김정민의 친절한 IT이야기]

SK 총수의 사과에도 불안한 이유

지난 4월 18일, SK텔레콤의 가입자 인증 서버(HSS)가 해킹당해 2,500만 명의 가입자 유심(USIM) 정보가 유출됐다. 공식 발표는 나흘 후 22일에 이루어졌다. 이동통신망의 핵심인 HSS 서버에 대한 해킹은 전례가 없다. 공격에 사용된 ‘BPFDoor’라는 리눅스 기반 백도어 악성코드는 비교적 최신의 고급 해킹 도구다.

필자는 해킹 소식이 알려진 직후 홍콩 출장을 다녀왔다. 배후에 중국이 연관됐을 가능성이 크다고 판단되었고, 유심 교체를 하지 못한 채 출국해 출장 내내 초조함과 불안을 감수해야 했다. 귀국 후 급히 유심보호서비스에 가입했다.

이번 사태가 소비자들의 불안을 키운 첫 번째 이유는 무엇보다 해킹의 배후가 여전히 드러나지 않았다는 점일 것이다. 두 번 째는 SK그룹 총수의 공식 사과가 지연됐다는 사실이었다. 총수의 대국민 사과는 사태가 일정 부분 파악됐다는 신호로 받아지고, 때문에 사용자에게 안도감을 주기도 한다.

지난 5월 7일, 사건 발생 3주가 지났을 즈음 마침내 SK그룹 최태원 회장이 사과했다. 그러나 사과의 내용으로 미뤄볼 때 사태의 실체가 충분히 규명됐다는 인상은 줄 정도는 아니었다. 이처럼 해킹의 배후와 침입 경로는 여전히 불명확하다.

앞서 4월 29일, 민관합동조사단은 1차 분석 결과를 발표했다. 가입자의 전화번호와 IMSI(가입자 식별키) 등 유심 복제에 악용될 수 있는 정보 4종과 SK텔레콤 자체 관리용 정보 21종이 유출된 것으로 밝혀졌다. 이후 조사단은 HSS 서버 14대 중 3대에서 악성코드 8종을 추가로 발견했다.

배후 세력이 자취를 감춘 상황에서 악성코드의 유입 시점과 경위를 밝히려면 정밀 포렌식이 필수적이다. 하지만 이번 사건의 최종 목적은 끝내 규명되지 않을 가능성도 배제할 수 없다.

해커들은 왜 범행을 자처하지 않나

해킹 그룹이 자신들이 사태의 배후라고 자처하는 행위는 단순한 ‘허세’가 아니다. 기술적 우위를 과시하고 명성을 높이는 한편, 심리전과 내부 결속 강화를 위한 목적이 있다. 때로는 정치적 메시지를 전달하기도 한다. 예를 들어, 2025년 이탈리아 정부 웹사이트 공격을 주도한 친러시아 해커 그룹은 “멜로니 총리의 우크라이나 지원 공언에 대한 항의”라는 정치적 의도를 명확히 밝히기도 했다.

그들이 배후라고 스스로를 공개하는 또 다른, 결정적인 이유는 해킹이 성공적으로 완료됐기 때문이다. 무엇보다 원하는 목표를 달성했기에 다음 공격에서도 얼마든지 새로운 수단을 동원할 수 있다는 자신감의 표현이다. 아울러 탈취한 정보를 통해 금전적 협상을 시도하는 경우도 많다.

그들이 숨어야 하는 네 가지 가능성

그러나 이번 SKT 유심 정보 유출 사건은 이례적이다. 자신이 배후임을 자처하는 세력이 전혀 나타나지 않고 있다. 왜 그럴까. 배후가 침묵하는 상황은 다음과 같은 가능성 중 하나로 해석할 수 있다.

첫째, 해킹의 목적이 정보이고, 금전적인 목적이나 정치적인 목적이 없는 경우

이 경우는 다시 국가 주도의 ‘사이버 작전’인 경우와 ‘조직 범죄’(데이터 암시장 거래, 금융 사기 목적)인 경우가 있다. 이런 경우는 정보 자체가 목적이기 때문에 반드시 2차 피해와 연결된다는 점에서 심각성이 크다.

국가가 주도한 경우라면, 장기적으로 정보를 수집하고, 통신 인프라 교란 능력을 비축해 국가간에 전략적 우위를 확보하는 것이 목적이다. 전쟁 초기에 방송국과 통신을 먼저 장악하는 이유와 일맥 상통한다. 뿐만 아니라 평시에도 기간 통신망을 교란하는 것은 엄청난 테러가 될 수 있다.

민간의 조직적 범죄일 경우에는 탈취한 개인정보를 암시장에서 판매하거나, 2차 금융사기에 활용해 금전적 이익을 극대화하는 쪽으로 방향을 잡는다. 즉 SKT측에 ‘직접적인 금전 요구’를 하는 것보다, 외부로 유출된 유심(USIM) 데이터 정보를 활용해 얻을 수 있는 이익이 더 크기 때문에 다음 기회를 노리는 것이다.

유출된 정보는 다크웹이나 지인 사칭 등에 활용될 가능성이 있고, 특정 범죄 조직은 이를 공개시장에서 판매하기보다, 배타적인 시장에서 소수의 수요자에게 더 높은 가격에 거래하기를 원한다. 때문에 자신을 드러내지 않고 은밀히 작업하는 경향이 있다.

둘째, 경쟁사  정보 탈취의 경우

공격자가 노린 목표가 경쟁사의 통신망 아키텍처, 보안 설계, 운영 노하우일 수도 있다. 또 고객 데이터를 활용한 서비스 전략을 파악해 시장 우위를 확보하려는 의도도 배제할 수 없다. 하지만 배후가 드러나면 막대한 법적·평판 리스크가 발생하므로 이러한 공격은 대체로 철저한 익명성 아래 수행된다. 수집된 정보는 내부 R&D와 장기 전략 수립에 흡수돼 경쟁력 강화에 쓰인다.

다만, 이번 사건에서 핵심 표적이 HSS 서버 즉 가입자 데이터였다면, 기업 자체 정보보다 고객 정보 확보가 주목적이었을 가능성이 높다. 이 경우 순수한 ‘경쟁사 해킹’일 개연성은 상대적으로 낮아진다.

셋째, 해킹의 목적이 달성되지 않은 경우(해킹이 실패한 경우)

공격이 부분적으로 실패하거나 목표 달성에 이르지 못한 경우, 해커는 ‘잠정 침묵’ 상태로 전환한다. 협상에 필요한 핵심 데이터를 확보하지 못했거나, 예상보다 빠른 보안 시스템의 탐지로 작전을 중단했을 가능성이 있다. 이 경우 협상력이 현저히 약해지고 배후를 자처하면 오히려 조직의 미숙함이 드러나기 때문에 침묵을 유지하는 편이 낫다.

탈취한 데이터가 일부 존재한다면, 해커 그룹은 이를 내부적으로 취합·평가한 뒤 익명 협상을 시도하거나 다음 기회를 대비해 장기 잠복을 선택할 수 있다. 공격자가 추후 변종을 통해 재침입하거나, 다른 경로를 이용한 2차 시도를 준비할 위험이 높다. 따라서 피해 기업은 단순한 사고 종결이 아닌, 지속적인 로그 분석과 백도어 탐지를 최소 수개월 단위로 수행해야 한다.

특히 이번과 같은 통신 인프라 해킹은 일회성이 아니라 장기 캠페인의 일부일 가능성이 크므로 모든 대응을 장기 방어 전략을 중심으로 설계해야 한다.

넷째, APT 성격의 공격인 경우

APT(Advanced Persistent Threat, 지능형 지속 위협)는 “한 번의 타격”이 아니라 은밀히 잠입하여 장기간 은닉하며 필요할 때마다 목표를 타격할 수 있는 발판을 구축하는 데 초점을 둔다. 장기간 프로젝트이므로 일반적으로 국가기관이나 그에 버금가는 자원과 조직력을 가진 집단이 주도한다.

초기에는 다양한 수단을 동원해 내부에 진입을 하고, 이후 관리 계정을 탈취(권한 상승, 수평 이동)한 후 핵심 시스템(HSS 등)에 지속형 백도어를 심는다. 이런 작전은 발각 전까지 최대한 조용히 작업을 하므로 배후 노출은 그 즉시 실패로 간주된다.

APT 공격은 단순히 데이터를 탈취하는 것을 넘어 통신 교란, 위성망 연계 공격 등 후속작전을 준비하기 위한 절차일 수 있다. 장기적으로는 네트워크 자체를 마비시키거나, 트래픽을 감청한다던가 변조하는 기술도 동원된다.

APT 공격은 자원을 총동원하여 동일 인프라에 여러 백도어를 중첩 설치하고, 필요할 때마다 모듈을 잠시 활성화한다. 그리고 로깅 우회, 타임스탬프 조작, 비휘발성 메모리 은닉 등으로 침입의 흔적을 최소화하기에 발각이 어렵고 발각되더라도 포렌식을 통해 침투 경로를 확인하기도 어렵다.

최태원은 왜 "국방 차원으로 인식"이라 했을까

SK그룹 최태원 회장은 이번 사태에 대한 대국민 사과에서 여러 메시지를 전달했다. 그중 특히 주목할 만한 발언은 “정보 보안을 국방과 동일한 수준으로 인식한다”는 부분이다. 최 회장이 구체적으로 어떤 보고를 받았는지는 알 수 없지만, 이번 공격과 대응 방안을 단순한 기업 차원의 문제가 아닌 국가 방위와 같은 전략적 중요성을 가진 사안으로 받아들여야 할 필요성을 인지했다는 의미로 해석된다.

이는 단순한 기술적 보완을 넘어, 해킹의 본질과 배후에 국가적 관심을 기울여야 한다는 경고이기도 하다. 배후가 국가적 단위일 가능성도 있다는 뜻이다. 따라서 국민 모두가 아직 배후가 밝혀지지 않은 이번 사태에 지속적인 관심을 갖고, 향후 정부와 기업의 대응 과정을 주의 깊게 지켜볼 필요가 있겠다.

※ 김정민 변호사 겸 (주)위츠 대표이사는 서울대에서 컴퓨터공학, 법학(부전공)을 공부했다. 4회 변호사시험에 합격 후 IT기업 준법팀장을 거쳐 법무법인 경세 파트너변호사, 대한변호사협회 IT블록체인특위 부위원장, 단국대학교 컴퓨터공학과 겸임교수, 한국블록체인사업협동조합 자문변호사로 일하고 있으며, 라이선스 간편거래 플랫폼 위츠의 대표를 맡고 있다.