SKT 해킹 민관조사단 "확인 중인 사안"

SK텔레콤 해킹 사건에서 최근 추가로 발견된 악성코드 8종이 사건 초기 악성코드들이 발견됐던 홈가입자서버(HSS) 3대에서 발견됐다.

때문에 해당 서버들이 해커들의 놀이터였음에도 SK텔레콤이 이를 잡아내지 못했다는 비난의 목소리가 커질 수밖에 없을 전망이다.

SK텔레콤 유심 해킹 사건을 조사 중인 민관 합동 조사단이 7일 국회 과학기술정보방송통신위원회 소속 최수진 의원(국민의힘)에 밝힌 바에 따르면 최근 추가 공개된 악성코드 8종은 홈가입자(HSS) 서버 3대에서 나왔다.

이들 서버 3대는 SK텔레콤이 가입자 정보를 분산한 서버 총 14대 가운데 일부로, 최초 공개된 악성코드 4종 역시 이들 서버에서 발견된 바 있다.

다만, 조사단 관계자는 악성코드 8종의 발견 장소에 대해 "아직 최종 확인 중인 사안"이라며 말을 아꼈다.

민관 합동 조사단은 최근 추가로 공개된 악성 코드 8종의 유입 시점과 경위에 대해 포렌식 중으로 코드 생성 시점에 대해서도 확인 중인 것으로 알려졌다.

보안 전문가들은 악성 코드 생성 시점은 SK텔레콤 내부망에 침입한 해커의 활동을 유추할 수 있는 중요한 단서로 꼽는다.

SK텔레콤이 서버 운영에 사용한 공개 운영체제(OS) 리눅스에서는 조회 명령어를 통해 악성 파일 및 코드 생성 날짜를 조회할 수 있어 현장 포렌식으로 악성 코드를 채증한 주체는 생성 날짜·시간을 파악했을 것으로 추정된다.

다만, 해커가 위장을 목적으로 '안티 포렌식' 기법을 통해 코드 잠입·생성 시점을 조작할 가능성도 존재한다.

아울러 악성 코드 12종이 잇따라 발견된 HSS 서버 3대가 서로 연결된 것인지, 각각의 폐쇄망을 통해 분리된 것인지 여부도 사건 파악에 중요한 요소로 꼽힌다.

서버가 내부망 등을 통해 연결돼 있었다면 악성 코드의 측면 이동(래터럴 무브먼트)이 가능하기 때문이다.

SK텔레콤은 해킹된 서버들이 폐쇄망으로 운영됐다고 밝혔는데, 각각의 서버를 외부와 분리하는 역할을 하는 VPN(가상사설망) 취약점을 통해 해킹 공격이 이뤄졌다는 추정도 나오고 있다.

SK텔레콤은 과방위 소속 김장겸 의원(국민의힘)에게 서버의 VPN 장비로 이반티(Ivanti)라는 해외 제품과 시큐위즈라는 국산 장비를 사용했다고 설명했다.

보안업계에서는 SK텔레콤 공격에서 이반티(Ivanti)의 VPN 취약점을 노렸다는 추정이 제기되며, 이반티 VPN의 취약점을 주로 활용하는 중국 기반 해커 그룹의 소행으로 보는 시각도 있다.