logo
logo
SK텔레콤 유심 해킹 배후에 국가 해커 조직 연루 정황
NEWS
사회

SK텔레콤 유심 해킹 배후에 국가 해커 조직 연루 정황

문나리 기자
입력

  SK텔레콤 유심 해킹 사태는 발생 한 달이 넘도록 공격 주체가 명확히 밝혀지지 않은 가운데, 전문가들은 해커의 장기 잠입, 정교한 침투 시점, 단계적 공격 절차 등을 고려할 때 국가 차원의 사이버 공격 가능성을 제기한다. 특히 통신사 해킹이 금전이 아닌 고급 정보 수집을 목표로 하는 국가 지원형 방식일 가능성이 크다는 점, 공격에 사용된 악성코드가 중국 해커 조직 '레드 멘션'이 사용하는 'BPF도어' 계열로 분석된 점에서 중국 개입설이 제기된다.

'고객 안심 패키지'_SKT텔레콤 공식홈페이지
'고객 안심 패키지'_SKT텔레콤 공식홈페이지

“통화기록 등 고급 정보 목적” 통신사 겨냥한 정교한 침입

  김승주 고려대 정보보호대학원 교수는 "통신사는 금융기관처럼 금전적인 정보를 보관하지 않지만, 대신 통화기록이라는 매우 고유한 데이터를 가지고 있다"며 "특정 인물이 누구와 얼마나 자주 통화했는지 등을 파악할 수 있는 정보로, 주요 정치인이나 공직자의 사회적 관계망과 동선 파악에 매우 유용하다"고 설명한다. 이어 "이 때문에 통신사는 정보 수집을 목적으로 한 국가 후원 해킹 조직에게 매력적인 공격 대상이 된다"며 "2019년 사이버리즌 보고서에서도 통신사 해킹이 증가하고 있으며, 특히 그 배후에 국가의 지원을 받는 해킹 그룹이 존재하고, 그 중에서도 중국 관련 사례가 두드러진다는 분석이 있었다.

 지난해 말 미국 통신사들이 대거 해킹됐을 때에도 중국 해커 조직의 개입 정황이 드러나면서 FBI가 현상금까지 내건 사례가 있었다. SK텔레콤 사건 역시 공격 시점과 정황이 유사해 중국 개입 가능성이 제기된다"고 덧붙인다.

사용된 악성코드, ‘레드 멘션’ 조직의 ‘BPF도어’와 동일

  해킹 방식과 관련된 기술적 정황도 영향을 미친다. 민관합동조사단에 따르면, 이번 공격에서 확인된 악성코드 중 상당수가 중국 정부의 후원을 받는 것으로 알려진 해커 조직 레드 멘션이 주로 사용하는 BPF도어 계열 악성코드로 분석됐다. BPF도어는 정상적인 인증 절차를 우회해 시스템에 몰래 접근할 수 있는 일종의 백도어다. 침투하면 장기간 은닉하는 데다 탐지 기술도 회피해 일반적인 보안 점검으로는 발견이 어렵다.

 

  미국 사이버 보안업체 트렌드마이크로는 지난 4월 보고서에서 "BPF도어는 국가 후원형 백도어로, 사이버 스파이 활동용으로 설계된 것"이라며 "지난해 7월과 12월 한국 통신기업을 포함한 여러 기관이 BPF도어 공격의 대상이 됐다"고 적는다. 다만 해당 통신기업이 SK텔레콤이라고 명시하지는 않는다.

정황상 APT 방식의 정교한 침입, 정부는 여전히 “조사 중”

  임종인 고려대 정보보호대학원 교수는 "트렌드마이크로 분석에 따르면 이 변종은 중국 정부의 후원을 받는 해킹 조직 레드 멘션 외에는 사용한 사례가 없다"며 "다크웹 유출 흔적이 없는 점을 고려하면, 개인정보 유출보다 안보 위협으로 접근해야 할 사안"이라고 말한다. 또 이번 공격은 APT(지능형 지속 위협) 방식으로 이뤄졌으며, 상당한 자금력과 조직력이 필요한 고난도 공격이라는 점에서도 국가 배후 가능성에 무게가 실린다. 다만 정부는 공격 주체를 특정하지 않고 있으며, 수사기관도 "모든 가능성을 열어두고 조사 중"이라는 입장을 유지한다.

LG유플러스 관련 정황도 재조명, “과거에도 중국 조직 언급”

 이와 더불어 LG유플러스가 과거 중국 보안업체 관련 문건에 간접 언급된 정황도 재조명된다. 지난해 2월 워싱턴포스트는 "중국 해커 조직 아이순이 LG유플러스를 해킹해 약 3TB 분량의 통화기록을 유출했다는 내용이 내부 문건에 포함돼 있다"고 보도한다. 아이순은 외국 기관을 해킹해 중국 정부에 정보를 판매해온 조직으로, 일부 해킹은 중국 공안의 지시로 수행됐다는 정황이 미국 법무부 공소장에 담겼다. 미국 법무부는 지난 3월 아이순 직원 8명과 공안부 소속 2명을 기소한다. 다만 LG유플러스 관련 해킹이나 정보 유출 여부는 공식적으로 확인되지 않는다.

 

  LG유플러스는 해킹과의 연관성이 확인되지 않았다는 입장이다. LG유플러스 관계자는 "워싱턴포스트 보도 당시 해킹 리스트의 실재 여부나 진위도 확인되지 않았으며, 그 안에 담긴 데이터가 실제 해킹을 통해 확보된 것인지도 검증된 바 없다"며 "정부와 KISA도 현장 점검을 진행한 뒤 특이사항 없이 종결 처리했다"고 설명한다.
 

  과학기술정보통신부와 한국인터넷진흥원(KISA)은 지난해 3월과 5월 두 차례에 걸쳐 LG유플러스 본사에 대해 현장 점검을 실시했으며, 회사 측도 자체 점검 결과 외부 침입이나 데이터 유출 흔적은 없었다고 밝힌다.
 

  전문가들은 해킹 피해가 있었더라도 탐지하지 못했을 가능성을 배제하지 않는다. 임 교수는 "탐지도 실력"이라며 "정부 조사에서 특이점이 없다고 했지만, 발견을 못한 것일 수도 있다"고 말한다.

문나리 기자
theway_u@naver.com
share-band
밴드
URL복사
#sk텔레콤해킹#사이버보안#국가후원형apt#중국해커조직#레드멘션#bpf도어#통신사침입#정보보안위기