▲해커가 유심(USIM)을 이용해 개인정보를 불법 복제하는 모습을 챗GPT로 형상화한 이미지. 사진=챗GPT
SK텔레콤의 서버를 공격해 유심(USIM·가입자식별모듈)정보를 탈취한 해커가 약 3년 전부터 해킹 프로그램을 설치했지만 회사와 정부는 사실을 인지하지 못했던 것으로 드러났다. 유사 사고 발생 후 보안 체계를 점검·개선하는 양상이 반복되고 있어 이에 대한 비판이 적잖은 가운데 근본적인 보안 체계 점검이 필요하다는 목소리가 높다.
3년 동안 해커 잠입 사실 몰랐다…“뼈아픈 지적, 센싱 체계 높일 것"
▲류정환 SKT 네트워크인프라센터장이 지난 19일 오후 서울 중구 삼화타워에서 열린 유심정보 해킹 사고 관련 데일리 브리핑에서 과기정통부 민관합동조사단 결과에 대한 입장을 밝히고 있다. 사진=이태민 기자
20일 과학기술정보통신부 민관합동조사단 2차 조사 결과에 따르면, 단말기 고유식별번호(IMEI) 등 개인정보가 임시 보관된 서버 일부도 해커의 공격을 당한 것으로 확인됐다. 해당 서버는 통합고객인증 서버와 연동되는 임시서버들로, 총 29만1831건의 IMEI와 다수의 개인정보(이름·생년월일·전화번호·이메일 등)가 담겨 있었다.
SKT 서버 총 23대에 대한 해커의 공격은 지난 2022년 6월 15일을 기점으로 발생했다. 해커는 웹셸을 사용해 서버에 침투한 후, BPF도어를 활용해 주요 정보를 탈취한 것으로 분석된다.
BPF도어는 이른바 '해커의 뒷문'으로 통하는 악성코드다. 시스템에 몰래 잠복한 뒤, 매직 패킷을 수신해야 활성화되는 구조로 일반적인 보안 장비의 탐지되지 않는 구조다. 웹셸은 웹 서버의 취약점을 이용해 관리자 권한을 불법 취득, 서버를 원격 조종하는 악성코드다.
업계 안팎에선 기술 고도화와 지속성·위협 주체가 명확하다는 점에서 단발성 공격으로 보기는 어렵다는 주장이 나온다. 표적을 정한 후 장기간에 걸쳐 다양한 수단을 총동원해 보안을 뚫는 지능형지속공격(APT)에 의한 사이버 공격이란 분석이다.
문제는 해커가 서버에 침투한 2022년 6월부터 2024년 12월까지의 로그기록(서버 접속기록)이 남아 있지 않다는 것이다. 내부 보관 정책상 5개월 단위로 저장하고, 이전 데이터는 삭제되는 구조로 인해 자료 유출 여부를 확인하기 어려운 것.
조사단과 SKT는 이 기간 동안 IMEI를 비롯한 개인정보 유출은 없었다는 입장이지만, 가능성을 완전 배제할 수 없다는 게 전문가들 중론이다. 특히 3년 동안 이같은 움직임을 탐지하지 못했다는 점에서 고도화된 공격 수법에 대한 대비 체계 구축이 부족했다는 지적이 나온다. 웹셸의 경우 고도의 은닉성을 갖는 게 아닌 웹 장악 과정에서 널리 쓰이는 형태라는 점에서다.
이에 대해 류정환 네트워크인프라센터장은 “뼈아픈 지적이다. 보안체계를 갖췄지만 웹셸을 감지하지 못한 건 명백한 잘못"이라며 “이번 사고 조사 결과를 토대로 민감도를 높인 감지 체계를 갖춰가겠다"고 말했다.
'양자암호통신' 강조하는 통신업계…시스템 내부 해킹 방어는 한계
▲양자내성암호 관련 이미지. 사진=삼성SDS
업계 일각에선 차세대 보안 기술로 꼽히는 '양자암호통신' 기술을 구축, 적용 범위를 확대하는 방안을 검토 중이다. 해당 기술은 해커가 망(네트워크)을 도청하거나 암호키를 탈취하는 행위를 차단하는 기술로 각광받고 있다. 하지만 이번 사고와 같이 시스템 내부의 해킹 공격을 근본적으로 막을 수 있는 보안 솔루션은 아니다.
실제 SKT는 지난 2019년 양자암호통신을 5세대 이동통신(5G) 가입자 인증 서버에 적용한 후 기술을 지속 고도화해 왔지만 이번 사고를 방지하진 못했다. 서버의 구조가 복잡다단하고, 기술 개발 비용도 적잖게 드는 만큼 모든 통신망과 시스템에 적용하기까진 시간이 소요되기 때문으로 풀이된다.
SKT는 비정상인증차단시스템(FDS)과 유심보호서비스 고도화, 유심 교체·재설정 솔루션 등을 골자로 한 고객안심패키지로 사이버 침해에 대응하겠다는 입장이다. 불법 복제폰 및 유심을 통한 통신망 접근을 차단할 수 있는 기술이란 설명이다.
임봉호 이동통신(MNO)사업부장은 “단말과 유심을 용접한 것과 같이 일치시켜 놓은 형태"라며 “국내뿐 아니라 해외까지 보호할 수 있도록 서비스 적용을 완료했다"고 언급했다.
대응 체계 재점검·투자 확대 필수적…첨단기술 악용 사례도 살펴봐야
▲통신 3사 매출액 대비 정보보호 투자 비중. SKT의 경우 SK브로드밴드에 대한 정보보호 투자액이 제외된 규모다. 그래픽=김베티 기자
전문가들은 사이버 보안 침해 대응 체계에 대한 재점검과 함께 근본적인 개선방안 모색이 시급하다고 진단했다. 해킹 수법이 나날이 고도화하고 있는 현실 상황에 맞춰 체계를 강화하는 한편, 투자 비중도 높여야 한다는 것이다.
실제 금융감독원 전자공시시스템(DART)에 공시된 통신 3사의 지난해 사업보고서를 살펴보면, 합산 설비투자(CAPEX) 비용은 6조6107억원으로, 전년(7조6659억원)보다 13.7%가량 줄었다. 올해 1분기 CAPEX 또한 △SKT 1060억원(SK브로드밴드 포함) △LG유플러스 3331억원으로 전년 대비 각각 66.6%, 13.4% 감소했다. KT의 경우 652억원으로 28.5% 늘었지만 신사업 영역에 대한 투자 확대 영향이란 분석이다.
최근 4년 동안의 정보보호 투자액 또한 연간매출의 1%대에 머물러 있는 상황이다. 한국인터넷진흥원(KISA)에 따르면 지난해 정보보호 투자액은 △SKT 867억원(SKB 포함) △KT 1218억원 △LGU+ 632억원으로 0.3~0.4%에 불과하다. 연평균 증가율은 5~7%에 그쳤다.
익명을 요구한 보안업계 한 전문가는 “통신사와 같이 대량의 개인정보를 보유하고 있는 기업의 경우 보안 리스크로 인한 타격이 커 선제적 대응이 필수적"이라며 “인공지능(AI)과 같은 첨단기술을 악용한 해킹 수법도 속속 등장하고 있는 만큼 보안 관리 체계의 사각지대에 대한 점검이 수반돼야 할 것"이라고 말했다.
![[SKT 유심 해킹] 경찰, SKT 경영진 등 수사 착수…내일 고발인 소환](http://www.ekn.kr/mnt/thum/202505/news-p.v1.20250520.1a1df4ea52004fe594d1dbdc9ef12e3f_T1.jpg)
![[가스 소식] 가스기술公 ‘안전문화 캠페인’, 귀뚜라미 ‘전국 대리점장 해외 연수’, 삼천리 정육점 ‘푸에르자 부르타 방문’](http://www.ekn.kr/mnt/thum/202505/news-p.v1.20250520.ce389a06f5604493874771f4a3ed6057_T1.png)
;){kind=link}