[김정민의 친절한 IT이야기]
SK텔레콤 유심정보 해킹 사태가 처음 알려진 지 한 달여 만에 민관합동조사단(이하 조사단)의 2차 조사 결과가 지난 19일 발표됐다. 이번 조사에 따르면 악성코드가 기존 4종에서 추가로 21종이 발견돼 총 25종으로 늘어났으며, 악성코드에 감염된 서버 역시 기존 5대에서 18대 추가돼 총 23대로 확인되었다.
1차 조사에서는 IMEI(단말기 고유식별 번호) 정보가 유출되지 않았다고 발표했으나, 이번 2차 조사에서는 IMEI 유출 가능성이 있다고 밝혔다. 또한 고객의 성명, 생년월일, 전화번호, 이메일 등 주요 개인정보도 함께 유출된 것으로 드러났다.
특히 3년 전부터 이미 설치된 악성코드가 발견되면서, SKT의 허술한 보안 관리에 대한 비판이 거세지고 있다. 그러나 조사단은 최소 3년 전부터 해킹이 시작된 것으로 밝혔을 뿐, 조사가 추가로 진행될 경우 피해 기간이 5년 또는 7년으로 길어질 가능성도 배제할 수 없다.
가장 우려되는 부분은 IMEI 유출과 복제폰 문제
이번 2차 조사에서는 1차 조사와 달리 IMEI 정보를 임시로 관리하는 서버 2대의 존재가 새롭게 확인되었고, 이 서버들이 ‘웹셀’이라는 악성코드에 감염된 사실도 드러났다. 쉽게 말해 IMEI 정보를 임시로 저장해두는 일종의 ‘경유 서버’가 존재했다는 것이다. SKT가 자사 서버 및 시스템 구조를 제대로 파악하지 못했거나, 1차 조사 당시 의도적으로 이 사실을 숨겼을 가능성도 배제할 수 없다. 만약 앞의 경우라면 관리의 부실함을 지적받아 마땅하고, 뒤의 경우라면 범죄행위로까지 해석될 수 있는 심각한 사안이다.
임시 서버에는 29만 건 이상의 IMEI와 고객 정보가 저장돼 있었으며, 최근 4개월 간의 로그에는 유출 흔적이 나타나지 않았다. 그러나 4개월 이전 시점에서는 유출이 발생했을 가능성이 높다는 것이 합리적인 판단이다. 유심 복제와 복제폰 제작을 위해서는 IMSI(가입자 식별키)와 IMEI, 단말기에 IMEI를 기록하는 프로그램 및 해당 프로그램의 인증키가 필요하다. 이 중 프로그램과 인증키는 단말기 제조사가 엄격히 관리하고 있다고 하지만, 해커가 이를 확보하지 못한다는 보장 역시 없다.
결국 IMSI와 IMEI 등 복제폰 제조에 필요한 핵심 정보는 이미 유출된 것으로 보는 것이 합리적이다. 다만 조사단의 발표처럼 현재까지 피해 신고가 없는 이유는, 해커의 목적이 IMSI나 IMEI 자체가 아니라 다른 정보에 있었기 때문으로 해석하는 것이 타당할 것이다.
2차 발표가 끝이 아니다.. 조사는 아직 진행 중
조사단의 2차 발표를 보면, 1차에서는 IMSI 및 IMEI 정보가 저장돼 있으며 BPF도어 악성코드의 주요 표적인 리눅스 서버에 초점이 맞춰졌고, 2차 조사에서는 리눅스 서버 전체와 일부 윈도 서버로까지 조사 범위를 확대한 것으로 보인다.
그러나 아직 전체 윈도 서버에 대한 조사 결과는 공식적으로 발표된 바 없다. 향후 추가 조사를 통해 악성코드 종류가 더 늘어나고, 감염 서버가 증가할 수 있으며, 최초 해킹 시점도 더 이전으로 거슬러 올라갈 가능성이 존재한다.
조사단이 유출 여부를 확인하는 방식은 방화벽 로그를 분석하는 방법인데, 로그에는 보존기간이 설정되어 있어 과거의 기록이 제대로 남아있지 않을 가능성이 크다. 즉, 향후 추가 조사를 통해 악성코드와 감염 서버에 대한 추가 정보를 확보하더라도 실제 어떤 정보가 얼마나 유출됐는지는 영영 밝혀내지 못할 가능성이 높다. 현재 남아 있는 로그에서 유출 흔적이 없다는 발표는 결국 큰 의미를 가지기 어렵다.
해커들이 이동통신사를 공격하는 목적
지난 칼럼(SKT 해킹 범인들은 왜 안 나타날까?)에서 강조했듯, 해킹 사건에서 가장 중요한 것은 배후가 밝혀지지 않았을 때 해커들이 이동통신사를 공격한 목적을 파악하는 일이다.
하지만 이번 2차 조사 결과에서도 이에 대한 언급은 없었다. 전문가들이 지목한 대로, 해킹의 배후가 중국이라면 과연 중국은 어떤 목적에서 한국 최대의 이동통신사를 공격했을까? 이전의 사례를 통해 어느 정도 유추는 가능하다.
작년 말, 중국의 해킹 그룹인 솔트 타이푼(Salt Typhoon)은 미국 이동통신사 9곳을 공격했다. 당시 미국 당국은 가장 먼저 CDR(Call Detail Record, 통화 상세 기록)의 유출 여부를 확인했으며 조사 결과, 중국 해커들은 미국의 고위 정치인과 군 관계자, 대기업 임원들의 통신 흐름을 추적한 것으로 드러났다. 이는 금전적 목적보다는 디지털 상에서 특정 인물들이 누구와, 언제, 어떻게 연결되는지를 정밀하게 감시하기 위한 목적이었음이 분명했다. FBI가 솔트 타이푼 관련 정보에 최대 1,000만 달러의 현상금을 내건 것도, 해당 해킹 사건이 단순 범죄가 아닌 국가 안보 차원의 문제라는 사실을 뚜렷이 보여준 것이다.
SKT는 소 잃고 외양간 고칠 수 있을까?
필자가 가장 우려하는 부분은 SKT가 앞으로 더욱 고도화될 해킹 공격에 맞설 기술적 역량과 대응 의지가 충분한가 하는 점이다. 현재 SKT가 비판받는 주된 이유는 소극적인 대응 태도 때문이다. 지금까지 SKT는 정부의 규제가 요구하는 최소한의 대응에 그쳤으며, 해킹 사고 발생 이후에도 관계 당국에 제때 보고하지 않았다.
가입자들은 SK그룹이 앞으로 예상되는 보안 위협에 적극적이고 능동적으로 대응할 능력과 의지가 있는지에 대해 의구심을 품고 있다. 또한 이러한 대응을 위한 자금적인 능력이 있는지도 의문이다.
국민들은 조사단이 1주일 만에 해낸 조사를 SKT가 왜 지난 3년 동안 하지 않았는지 의아해하고 있다. 우리는 내 PC가 바이러스나 악성코드 감염이 의심될 때 즉시 백신 프로그램을 돌려본다. 상시 가동되는 백신도 많다. 하지만 SKT의 서버 관리는 이와는 달랐다. 관계자의 설명을 종합해보면, SKT는 서버에 백신 프로그램을 실행하지 않는다. 백신 프로그램 실행 시 과부하로 서버가 다운되거나 다른 프로그램과 충돌할 위험이 있기 때문이다. 이 때문에 SKT는 부하가 적은 네트워크 보안만 제한적으로 강화해 온 것으로 보인다.
더불어 SKT 내부에서 보안 담당 임원의 실질적 권한도 크게 의심스럽다. 과연 보안 담당 임원이 회사 서비스에 장애가 발생하는 위험을 감수하면서까지 모든 서버를 대상으로 악성코드 점검을 해야 한다고 강력히 주장할 수 있을까? 서비스 장애의 책임을 온전히 감당하기란 현실적으로 쉽지 않다. 결국 현재와 같은 비상 상황이 되어서야, 또는 정부의 강력한 지시가 있어야만 전면적인 보안 점검이 이뤄지는 것이다.
결국 이통사를 움직이는 것은 강력한 법과 제도다
많은 전문가들이 지적하듯, SKT를 비롯한 이동통신사를 실제로 움직이게 하는 힘은 결국 '엄격한 법제도'다. 이와 관련해 우리가 참고할 수 있는 대표적인 사례가 바로 영국의 ‘통신보안법(Telecommunications Security Act 2021)’이다. 이 법은 기존의 ‘Communications Act 2003’를 전면 개정해 영국 내 통신 네트워크와 서비스의 보안을 강화하기 위해 제정된 것으로, 이통사에게 훨씬 강화된 보안 의무를 부과하고 있다.
특히 주목할 점은, 해당 법률이 보안 의무 위반시 사업자에게 연간 매출액의 최대 10%까지 과징금을 부과할 수 있도록 규정하고 있다는 것이다. 이러한 수준의 강력한 리스크가 있어야 기업이 실제로 움직인다. 참고로 우리나라의 개인정보보호법에도 유사하게 전체 매출액의 3% 이내 범위에서 과징금을 부과할 수 있는 조항이 있다.
SK그룹 최태원 회장은 이번 사태와 관련해 대국민 사과를 하며 “정보 보안을 국방과 동일한 수준으로 인식하겠다”고 밝혔다. 아직 SKT 유심 해킹 사건의 배후는 명확히 밝혀지지 않았지만, 전문가들은 중국발 APT(Advanced Persistent Threat, 지능형 지속 공격)의 가능성이 높다고 보고 있다. APT 공격은 단발성 해킹이 아닌, 정치·사회적 감시 목적의 장기적 전략에 따라 CDR(Call Detail Record) 등 민감한 정보 추적을 목표로 한다. 이는 단순한 범죄가 아니라, 지속적이고 체계적인 사이버 위협이라는 점에서 각별한 주의가 필요하다.
사태 발생 후 한 달 동안 수많은 정보가 쏟아졌지만, 우리가 잊지 말아야 할 핵심은 이것이다. 국가 단위의 지속적인 해킹 위협에 대응하기 위해서는 꾸준한 관심과 보완 노력이 필요하며, 기술력과 대응 의지를 기반으로 한 보안 강화는 물론, 이를 뒷받침할 수 있는 경제적 투자와 강력한 규제 장치가 반드시 병행되어야 한다는 점이다.
※ 김정민 변호사 겸 (주)위츠 대표이사는 서울대에서 컴퓨터공학, 법학(부전공)을 공부했다. 4회 변호사시험에 합격 후 IT기업 준법팀장을 거쳐 법무법인 경세 파트너변호사, 대한변호사협회 IT블록체인특위 부위원장, 단국대학교 컴퓨터공학과 겸임교수, 한국블록체인사업협동조합 자문변호사로 일하고 있으며, 라이선스 간편거래 플랫폼 위츠의 대표를 맡고 있다.