정부는 SK텔레콤이 서버 관리를 허술하게 한 까닭에 해킹 사고가 벌어졌다고 판단했다. 특히 SK텔레콤이 해커 침투를 장기간 방치한 탓에 가입자 유심(USIM) 정보가 담긴 ‘음성통화인증관리서버(HSS)’는 물론 민감한 통화 기록이 담긴 ‘통화기록(CDR) 서버’까지 광범위한 악성코드 감염이 발생한 것으로 나타났다.
4일 과학기술정보통신부 민관 합동조사단 조사 결과에 따르면 해커는 2021년 8월 6일 외부 인터넷과 연결된 SK텔레콤 서버 하나에 원격제어, 백도어(우회 접근) 기능이 있는 악성코드를 설치했다. 이 서버는 다른 서버들로 접근할 수 있는 계정과 비밀번호가 담겨 있었다. 비밀번호는 암호화하지 않은 평문으로 저장돼 있었기 때문에 해커가 쉽게 탈취할 수 있었다.
해커는 알아낸 비밀번호를 통해 같은 해 12월 24일 2300만 가입자의 유심 정보가 든 핵심 서버 HSS에 ‘BPF도어 악성코드’를 설치했다. 중국 해커들이 즐겨 쓰는 BPF도어는 보안 탐지 시스템에 잘 들키지 않는 은닉성이 강해 오랫동안 서버에 잠입할 수 있었다. 총 25종, 용량 9.82GB, 2696만 건에 달하는 유심 정보가 빠져나갔다.
특히 사용자가 언제 누구와 통화했는지를 알 수 있는 통화 시간, 수·발신자 전화번호 같은 통신 활동과 관련한 민감 정보들을 저장한 CDR 서버도 포함된 것으로 확인됐다. 사생활 침해는 물론 국가 기밀을 탈취할 목적으로 고위급 인사의 기록이 중국·북한 등 해커 그룹의 표적이 되기도 할 정도로 안보와 밀접한 관련이 있는 정보다. 복제폰 개통이나 명의 도용과 달리 해외에서 통화 기록이 불법 유통될 경우 피해 당사자가 이를 인지하고 경찰에 신고하기조차 어려워 사후 대응 역시 어렵다고 여겨진다.
과기정통부는 “방화벽 로그 기록이 남아 있는 지난해 12월 9일부터 올해 4월 20일까지의 기간에는 정보 유출 정황이 없는 것을 확인했다”면서도 “악성코드 감염 시점으로부터 로그 기록이 없는 기간에는 정보 유출 여부를 확인하는 것이 불가능했다”고 설명했다. 최근 5개월을 제외한 지난 2년간 CDR 서버 내 악성코드에 의한 정보 탈취 여부는 정부도 장담할 수 없다는 것이다. 박춘식 아주대 사이버보안학과 교수는 “통신 기록은 용도에 따라 심각한 피해를 낳을 수 있다”며 “피해 규모를 가늠할 수 없기 때문에 일단 해당 서버가 감염됐다면 그 안의 정보 역시 유출됐다고 전제하고 보안 대응을 해야 한다”고 지적했다.
SK텔레콤은 또 과거 조기에 해킹 사실을 확인해 조치할 수 있었지만 조사를 소홀히 해 피해를 키운 과실도 있는 것으로 나타났다. SK텔레콤은 2022년 2월 23일 특정 서버에서 비정상 재부팅이 발생하면서 해당 서버와 연계된 서버들을 점검하는 과정에서 악성코드에 감염된 서버를 발견했다. 하지만 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 따른 신고 의무를 이행하지 않았다. 또 당시 점검 과정에서 이번 침해 사고에서 감염이 확인된 HSS 관리 서버에 비정상 로그인 시도가 있었던 정황을 발견해 점검했지만 해당 서버에 대한 로그 기록 6개 중 1개만 확인해 해커가 서버에 접속한 기록을 확인하지 못했다. 이번 해킹 사고 직후 서버 2대를 포렌식 분석이 불가능한 상태로 임의 조치해 정부 조사에 제대로 협조하지 않기도 했다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
sookim@sedaily.com
