“SKT 해킹은 국가 안보 위협의 서막”…中 해커, 美 우방국 통신망 정조준

[이데일리 임유경 윤정훈 기자] 해커가 SK텔레콤 서버에 악성코드를 처음 심은 시점이 2022년 6월 15일로 확인되면서 최소 3년 전부터 국내 통신사·플랫폼 기업·정부 등을 겨냥한 유사 공격이 이어졌을 가능성이 제기되고 있다. 실제로 글로벌 보안업체들은 지난해부터 중국 해커 집단이 한국 등 미국 우방국을 표적으로 삼았다는 보고서를 잇따라 발표해왔다.

공격 목적도 금전적 이익보다 국가 기밀 확보 등 정치적 의도일 수 있다는 분석이 나온다. 보안 전문가들은 이번 사건을 단순 기업 보안 사고가 아닌 국가 사이버 안보 위협으로 보고 대응해야 한다고 강조하고 있다.

[이데일리 이미나 기자]

최우혁 과학기술정보통신부 정보보호네트워크정책관이 19일 서울 종로구 정부서울청사에서 SKT 침해사고 관련 민관합동 조사결과 2차 발표 브리핑을 하고 있다.(사진=연합뉴스)

최우혁 과학기술정보통신부 정보보호네트워크정책관은 19일 SK텔레콤 침해사고 관련 브리핑에서 “전문가 분석 결과, SK텔레콤 서버에 악성코드가 처음 설치된 시점은 2022년 6월 15일로 확인됐다”며 “당시 웹 서버를 장악하는 데 흔히 쓰이는 ‘웹셸’이 먼저 설치됐고, 이후 은닉성이 강한 백도어 ‘BPF도어’가 추가로 설치됐다”고 밝혔다.

SK텔레콤이 정보 유출이 발생한 뒤에야 침해 사실을 인지한 이유는 BPF도어의 특성 때문이라는 설명이다. BPF도어는 중국 해커 조직 ‘레드멘션’이 사용한 것으로 알려진 APT(지능형 지속 위협) 공격용 백도어로, 은밀히 침투하고 흔적을 숨기는 스텔스 기능을 갖춰 탐지가 어려운 것이 특징이다. 류정환 SK텔레콤 인프라네트워크센터장은 이날 오후 중구 삼화타워에서 열린 일일 브리핑에서 “BPF도어를 포함해 APT 공격은 해커가 침입한 후 정보를 유출하기 까지 상당히 오래걸리는 특징이 있어 침투 증적을 찾기가 상당히 어렵다”고 설명했다.

SK텔레콤과 비슷한 시기에 국내 다른 통신사나 플랫폼 기업, 국가 기관을 대상으로 한 BPF도어 해킹 공격이 이뤄졌다면, 이들 역시 유출이 일어나기 전까지 탐지하기 어렵다는 얘기다.

지난해부터 글로벌 사이버보안 기업들은 통신사를 비롯한 주요 기업들이 중국 해커 조직의 지속적인 공격 대상이 되고 있다는 내용의 보고서를 잇따라 발표하고 있다. 트렌드마이크로는 지난달 공개한 보고서에서 중국 해커 조직 ‘레드 멘션(Red Menshen)’이 한국을 포함한 아시아·중동 지역의 주요 인프라를 겨냥해 BPF도어를 활용한 APT(지능형 지속 위협) 공격을 감행했다고 밝혔다. 이 조직은 특히 2024년 7월과 12월, 두 차례에 걸쳐 한국의 한 통신사를 공격한 것으로 보고됐다. 같은 방식의 공격은 홍콩, 미얀마, 말레이시아, 이집트 등에서도 통신·금융·유통 분야를 대상으로 이루어진 것으로 확인됐다.

미·중 간 사이버 주도권 경쟁이 본격화되는 가운데, 중국 해커 조직이 미국의 동맹국인 한국을 겨냥하고 있다는 분석도 나온다. 대만 사이버보안 기업 팀T5는 최근 보고서에서 중국 해커 그룹 ‘솔트 타이푼(Salt Typhoon)’이 한국을 지속적으로 표적삼고 있다고 지적했다. 앞서 미국 백악관은 지난해 12월 솔트 타이푼이 미국 내 최소 8개 통신사를 해킹해 고위 당국자들의 통신기록에 접근한 사실을 공개하며, 중국 해커 집단과의 사이버 전쟁을 공식화한 바 있다.

[이데일리 이미나 기자]

국내 보안 전문가들은 SK텔레콤을 비롯한 국가 기간통신망을 겨냥한 이번 사이버 공격이 단순한 금전적 목적이 아닌 정치적 목적을 띤 국가 차원의 위협일 가능성에 주목하고 있다.

임종인 고려대 정보보호대학원 명예교수(전 대통령실 사이버특보)는 “과거 미국의 AT&T, 버라이즌, 심지어 재무부까지 중국 해커에게 정보를 탈취당한 사례를 보면, 이번 사건은 SK텔레콤만의 문제가 아니다”라며 “만약 금전적 이득이 목적이었다면 이미 다크웹에 정보가 유출됐을 텐데 그렇지 않다는 점에서 정치적 목적이 더 커 보인다”고 지적했다.

김승주 고려대 정보보호대학원 교수도 “3년간 정보 유출이 드러나지 않은 이유는 해커가 장기적으로 은밀히 잠복하며 탐지를 회피했기 때문”이라며 “국가 주도의 공격으로 볼 수 있다”고 분석했다.

다만, SK텔레콤 침해사고에 대한 2차 조사 결과에 따르면 통신 기록(CDR)과 관련된 데이터 유출은 없었던 것으로 확인됐다. 이동근 한국인터넷진흥원(KISA) 디지털위협대응본부장은 “현재까지 CDR 관련 데이터베이스가 해킹된 정황은 발견되지 않았고, 단말기 고유식별번호(IMEI)나 일부 개인정보가 확인된 감염 서버에서도 통화기록 데이터는 포함되지 않았다”고 밝혔다.

정부는 대통령선거를 앞두고 사이버보안 경보 단계를 ‘관심’에서 ‘주의’로 상향 조정하며 경계 태세를 강화했다. 통신사, 플랫폼사, 공공기관 등을 대상으로 한 추가 사이버 위협에 대해서도 지속적인 모니터링을 이어가겠다는 방침이다.

최우혁 과학기술정보통신부 정보보호네트워크정책관은 “지난 12일부터 통신사 및 플랫폼사를 대상으로 보안점검 태스크포스(TF)를 운영하고 있으며, 일간 및 주간 단위로 점검 결과를 확인하고 있다”고 밝혔다. 이어 “중앙행정기관, 지자체, 공공기관은 국정원 주관으로 점검을 진행 중이며, 현재까지 민간과 공공 모두에서 신고된 사례는 없다”고 설명했다.

전문가들은 이번 사태를 일회성 해킹 사건이 아니라 국가 차원의 ‘사이버전 대비’라는 관점에서 접근해야 한다고 입을 모은다. 임종인 교수는 “지금은 불필요한 공포를 조성하기보다 국정원과 미국 정부 등과의 공조를 통해 해커의 정체와 목적을 정확히 파악하고 체계적으로 대응할 시점”이라고 말했다.