[인더스트리뉴스 서영길 기자] SK텔레콤이 최소 2021년 8월부터 해커의 공격을 받아온 사실이 정부 민관합동조사단의 최종 조사 결과 드러났다.

해커는 약 4년에 걸쳐 SK텔레콤 서버에 침투해 33종의 악성코드를 심었고 이 과정에서 고객 유심(USIM) 정보 25종이 외부로 유출된 것으로 조사됐다.

이로써 2개월여에 걸친 민관합동조사단의 조사는 마무리 수순을 밟게 됐지만 위약금 면제 문제, 개인정보 유출과 관련한 개인정보보호위원회의 제재 수위 등은 아직 정해지지 않아 이에 대한 업계의 관심이 집중되고 있다.

4일 과학기술정보통신부를 주축으로 한 민관합동조사단은 서울 종로구 정부서울청사에서 이같은 내용의 최종 조사 결과를 발표했다.

조사에 따르면 SK텔레콤 해킹의 시작은 2021년 8월 6일로 파악됐다. 지난 중간 조사 결과 발표에서 2022년 6월이 최초 해킹 시점으로 지목됐지만 이보다 약 10개월가량 앞서 해킹이 이뤄진 셈이다.

해커는 외부 인터넷과 연결된 시스템 관리망 내 서버에 원격제어, 백도어 기능이 포함된 악성코드 ‘크로스C2’를 심어 초기 침투에 성공했다.

당시 공격 받은 서버에는 다른 서버에 접속할 수 있는 계정 정보(ID, 비밀번호 등)가 암호화 없이 평문으로 저장돼 있었고, 해커는 이 계정 정보를 활용해 연쇄적으로 시스템 관리망 내 다른 서버에 접근했다.

이어 같은 해 12월에는 핵심 코어망인 음성통화인증 관리 서버(HSS)에 침투해 은닉성이 강한 ‘BPF도어(BPFDoor)’ 등의 악성코드를 심었다.

해커는 총 28대 서버를 공격해 33개의 악성코드를 심었고 이로 인해 전화번호, 가입자 식별번호(IMSI) 등 유심정보 25종이 유출됐다. 규모는 9.82GB, IMSI 기준 약 2696만건이었다.

조사단은 측은 유출된 규모가 SK텔레콤 가입자 전원의 유심 정보에 해당하는 것으로 보고 있다.

구체적으로 보면 해커가 SK텔레콤 내부 서버에 심은 악성코드는 BPF도어 계열 27종을 포함해 모두 33종으로 파악됐다. 타이니쉘 3종, 웹쉘, 오픈소스 악성코드인 크로스C2, 슬리버 각각 1종이다.

SK텔레콤은 공급망 보안 관리도 취약했던 것으로 밝혀졌다.

조사단은 “이번 침해사고와 연관성은 없지만 공급망 보안 관리 취약으로 악성코드 1종이 SK텔레콤 서버 88대에 유입된 것을 확인했다”고 밝혔다.

SK텔레콤 협력업체가 개발한 소프트웨어가 악성코드에 감염돼 있었는데 이 소프트웨어가 SKT 서버에 설치되면서 코드가 유입됐다는 설명이다. 다만 이 악성코드가 실행된 흔적이 없어 이로 인한 정보 유출 등의 피해가 없었고, SK텔레콤 서버를 직접 공격한 해커 행위와 무관해 보인다는 것이 조사단 판단이다.

조사단 측은 “외부에서 제작한 소프트웨어를 SK텔레콤이 설치하면서 보안 검수를 제대로 하지 않은 점은 공급망 보안 관리에 문제점으로 볼 수 있다”고 지적했다.

더구나 SK텔레콤 측은 2022년 2월 내부 점검 과정에서 일부 서버에서 비정상적인 재부팅과 악성코드를 확인했음에도 이를 정부에 신고하지 않고 자체 대응에 나서며 문제를 키운 것으로 조사됐다.

실제로 이같은 자체 대응 과정에서 핵심 서버 내 해킹 흔적을 정확히 파악하지 못했고, 이로 인해 침해 사실이 장기간 은폐되면서 피해가 확산됐다는 게 조사단 측 분석이다.

결국 해커는 지난 4월 18일 음성통화인증(HSS) 3개의 서버에서 유심 정보를 대규모로 외부로 유출했다.

SK텔레콤은 정보통신망법상 침해사고 인지 후 24시간 이내 신고 의무를 지켜야 했지만 4월 18일 오후 11시20분 침해 정황을 인지한 후 같은 달 20일 오후 4시46분에야 한국인터넷진흥원(KISA)에 신고했다.

조사단은 “이에 따라 SKT는 정보 유출이 발생한 HSS에서 BPF도어 악성코드가 심어졌던 것을 확인하지 못했고 당국에 신고도 하지 않아 정부 조사로 악성코드를 발견, 조치하는 작업도 이뤄질 수 없었다”고 설명했다.

 

아울러 유심 복제에 활용될 수 있는 중요한 정보인 유심 인증키(Ki) 값 암호화를 세계이동통신사업자협회(GSMA)가 권고하며 KT, LG유플러스 등이 하는데도 SK텔레콤만 암호화하지 않은 점, 지난 4월 해킹이 드러나며 자료 보전 명령을 받았음에도 서버 2대를 포렌식 분석이 불가능한 상태로 조치해 제출한 점 등도 지적했다.

조사단은 자료 보전 명령 위반과 관련해서는 수사기관에 수사를 의뢰한다는 방침이다.

이에 조사단은 재발 방지 대책으로 서버 등 네트워크가 연결되는 장치에서 일어나는 모든 활동을 감지·분석하는 EDR 솔루션 및 백신 적용, 분기별 1회 이상 모든 자산에 대해 보안 취약점 정기 점검, CISO를 최고경영자(CEO) 직속 조직으로 격상 등을 SK텔레콤 측에 요구했다.

또 조사단이 IMEI나 개인정보가 평문으로 임시 저장된 서버를 확인했으나, 정밀 분석 결과 지난해 12월 3일부터 해킹 사실이 발견된 시점까지는 정보 유출 정황은 없었던 것으로 나타났다.

다만 이는 방화벽 로그가 남아 있는 기간에 한정된 분석 결과로, 악성코드 감염 시점으로 추정되는 2022년 6월부터 로그가 남아 있지 않은 지난해 12월 2일까지는 유출 여부를 단정할 수 없는 상황이다.

조사단은 이 기간 동안의 로그가 존재하지 않아 정보 유출 여부를 확인하는 데 기술적 한계가 있다고 설명했다.

특히 SK텔레콤 해킹 사태 이후 정치인이나 고위 공직자 등의 통화 기록 등 민감한 정보가 노출됐을 가능성에 대한 우려가 제기됐는데, 이에 대한 실제 피해가 확인되지 않으면서 이번 해킹 사건이 국가 차원의 조직적 사이버 공격이라는 의혹 확인도 불가능해졌다.

조사단은 “SK텔레콤이 자체 보안 규정에 따라 로그기록을 6개월 이상 보관했어야 했지만 실제로는 방화벽 로그를 4개월간만 유지했다”며 “중요 정보 유출 여부를 면밀히 조사하는 데 한계가 있었다”고 지적했다.

조사단은 로그 기록의 6개월 이상 보관과 함께 중앙로그관리시스템 구축 등을 개선 과제로 SK텔레콤 측에 권고했다.

또 SK텔레콤이 서버 등 전체 자산 종류, 규모, 유휴·폐기 여부를 체계적으로 관리하지 않고 있었던 점과 타사 대비 정보보호 인력 및 투자 규모가 부족한 점도 문제로 꼽았다.

이를 종합해 과기정통부는 이날 발표 자리에서 SK텔레콤의 과실을 인정하며, 의무 가입 기간이 남은 이용자의 계약 해지 시 위약금을 면제해 줄 것을 사측에 요구했다.

과기정통부 측은 “이번 사고 책임은 SK텔레콤에 있고 계약상 중요한 안전한 통신을 제공해야 하는 의무를 위반했으므로 위약금 면제 규정에 해당한다”며 "해킹 사고 후 번호이동을 한 가입자들에게도 위약금에 대한 환불 조치가 당연히 이뤄져야 한다"고 강조했다.

특히 과기정통부는 "오늘 발표는 SK텔레콤과 협의 없이 이뤄졌다"며 "SK텔레콤이 만약 위약금 면제 판단에 반대한다면 전기통신사업법에 따라 시정명령을 요구하고, 이행되지 않으면 등록취소 등의 조치까지도 할 수 있다"고 강경한 입장을 나타냈다. 

다만 이번 판단은 SK텔레콤 약관과 이번 사고에 한정되며, 모든 사이버 침해사고가 약관상 위약금 면제에 해당한다는 일반적 해석은 아니라고 설명했다.

아울러 과기정통부는 SK텔레콤 측에 재발 방지 대책에 따른 이행계획을 이달 내 제출하라며 이행 여부를 올해 말 점검하겠다고 밝혔다.

한편 이번 사건과 별도로 개인정보 유출 여부를 조사 중인 개인정보보호위원회도 조만간 제재 수위를 확정할 예정이다.

개인정보위는 SK텔레콤의 신고 직후인 4월 22일부터 독립적인 조사에 착수해 기술적·관리적 보호조치 위반 여부와 개인정보보호법 위반 여부를 들여다보고 있는 상황이다.

고학수 개인정보위원장은 최근 “조사 윤곽이 잡히고 있으며 수 개월 내 결과를 낼 수 있을 것”이라고 밝힌 바 있다. 이에 따라 업계는 오는 8월 말 개인정보위의 처분 결과 발표를 유력하게 점치고 있다.

무엇보다 수천억원대에 달할 것으로 전망되는 과징금 부과 수위에 업계의 이목이 쏠리고 있다.

개정된 개인정보보호법에 따르면 기업이 개인정보보호법을 위반했을 경우 정부당국은 해당 기업 전년도 전체 매출의 최대 3%까지 과징금을 부과할 수 있다고 못박고 있다.

이에 따라 SK텔레콤의 지난해 매출액이 약 17조9000억원이었으므로 대략 5300억원에 달하는 과징금이 부과될 수 있다는 전망이 나온다.

다만 SK텔레콤이 실제 침해 범위와 유출 여부를 좁혀 입증에 성공할 경우 과징금 규모는 대폭 줄어들 가능성도 있다.